J'ai du mal à comprendre la relation entre LDAP et Kerberos (conceptuellement).
Je comprends que LDAP est un service d’annuaire et que Kerberos est un service d’authentification.
Nous savons également que LDAP est également capable de stocker des mots de passe, mais la conception de LDAP doit être un annuaire accessible au public et ne convient pas pour stocker des informations sensibles. C'est pourquoi il est préférable de déléguer l'authentification à un autre service, tel que Kerberos.
Maintenant, ce que je ne comprends pas, ce sont ces deux questions:
- À quel serveur les clients envoient-ils leur demande lorsqu'un utilisateur tente de se connecter? Mon intuition me dit que ce doit être le serveur Kerberos. Si oui, où le serveur LDAP entre-t-il?
- Où l'administrateur système définit-il les autorisations? Dans ce cas, mon intuition me dit LDAP. Je peux imaginer qu'il pourrait y avoir une entrée pour chaque système et / ou service, et les utilisateurs y auront accès par le biais des appartenances à un groupe ou directement. Si oui, cela signifie-t-il que le serveur LDAP (via une interface telle que phpLDAPadmin) définira les groupes et les utilisateurs en conséquence sur le serveur Kerberos?
Je suis particulièrement confus car je vois la connexion entre LDAP et Kerberos dans les deux documentations. Pourparlers LDAP sur la délégation de l' authentification Kerberos ici et parle Kerberos d'avoir LDAP comme backend ici .
Toutes les documentations que j'ai lues semblent être des pièces d'un casse-tête que je n'arrive pas à assembler. J'apprécie que quelqu'un puisse expliquer comment faire.