Разве вы не ненавидите, когда ваш пароль взрывается, позволяяволшебный дымиз вашего сервера и настройкаlp0 пылает?
Если серьезно, то количество мест, где человеку нужны имя пользователя и пароль, резко увеличивается. Похоже,OpenIDне решит проблему в ближайшем будущем, иЕдиная точка входакажется больше целью, чем реальностью, даже если не принимать во внимание огромную внешнюю сеть.
Я только что пришел со встречи, на которой мне сказали, что мы заплатили за доступ к нескольким внешним сайтам и хотим снизить планку и повысить вероятность того, что сотрудники (и студенты) будут использовать эти ресурсы. Выступавшие считали, что наши лучшие пять-десять процентов пользователей могут использовать сайты, но если мы сможем предоставить людям возможность входить на сайты (и дать им стартовую страницу), то охват может значительно возрасти (и что мы могли бы сэкономить деньги на техническую поддержку, но не помогать людям, когда они забывают свои пароли).
Что вы делаете с этой проблемой в вашей организации? Есть ли какие-то разумные подходы?
решение1
Kerberos дает вам 90% этого. Затем вам нужно заставить ваши браузеры передавать токены kerberos на внутренние веб-сайты (посмотрите about:config на вариантах Mozilla, найдите "nego", чтобы увидеть настройки).
После этого — аутентификация типа RADIUS для вещей, требующих паролей, или LDAP.
решение2
Мы широко используем Центральную службу аутентификации (запись в википедии). Он имеет плагины для множества вещей, и нам удалось использовать его для сервисов, которые имеют отдельную идентификационную информацию для каждого пользователя. Яполагатьего также можно использовать для сервисов, где предусмотрен общий вход на сайт.
решение3
Здесьсторожопция. Keepass может открыть веб-сайт, перейти на нужные поля входа, ввести имя пользователя и пароль и нажать Enter — все одним простым щелчком. Поместите предварительно заполненную базу данных keepass на флешку и предоставьте ее своим пользователям, они также могут хранить там свои пароли.
Возможно, этого недостаточно для веб-системы входа в систему для тысяч пользователей, но это может заставить пользователей чувствовать себя более уверенными в безопасности своих паролей (и это по-прежнему отличное решение для индивидуальных пользователей).
решение4
Если различные инструменты/сайты/сервисы поддерживают LDAP, то при входе в системуможетесли это необходимо, по крайней мере они будут проходить обратную аутентификацию в вашей инфраструктуре OpenLDAP или Active Directory, поэтому имя пользователя и пароль не будут «новыми».