Бесшовный SSO с Kerberos, IE, Firefox, Active Directory LDAP
Я использую автоматический генератор пароля 'apg' для обеспечения списка возможных трудных к предположению, но легких, чтобы помнить паролей. Как следующий пример:
wuWesvupt7 (wu-Wes-vupt-SEVEN)
quirrardAj9 (quirr-ard-Aj-NINE)
urf5Olmenoy (urf-FIVE-Olm-en-oy)
yebTywalAk5 (yeb-Ty-wal-Ak-FIVE)
TihekDuiRen8 (Ti-hek-Du-i-Ren-EIGHT)
Flyahit7 (Flya-hit-SEVEN)
Я выбираю тот, который я люблю больше всего, и затем я сохраняю его с помощью 'pwsafe'.
pwsafe обладает преимуществом, что можно скопировать файл паролей легко, и можно объединить файлы в случае, у Вас есть несколько компьютеров.
Кроме того, пароль переходит (по умолчанию) к X буферам обмена, таким образом, другие не могут наблюдать его.
Быть обеими командными строками инструментов делает их легко accesable, таким образом, Вы не должны смешивать с меню GUI.
Мы столкнулись с очень похожей проблемой. Мы в конечном счете пришли к заключению, что, в то время как интегрировано поддержка входа в систему NTLM в Internet Explorer и Firefox удобна, существует столько случаев исключения, которые приводят к отказу, что мы изменили наш подход.
Проблема с интегрированной аутентификацией состоит в том, что она работает только, когда в настоящее время входил в систему, имя пользователя и пароль все еще корректны и правильно авторизованы получить доступ к ресурсу.
Существует больше обстоятельств, где это не работает однако:
- Если имя пользователя и/или пароль является неправильным, нет никакого способа использовать альтернативные учетные данные в качестве Вас вышеизложенный
- Если учетная запись и/или пароль истекли или если пароль будет неправильным, то браузер возвратит "несанкционированное" сообщение без подсказки, относительно которой из проблем это
Подход, на котором мы стандартизировали, должен был поднять веб-страницу входа в систему имени пользователя/пароля (перед приложением), который принимает учетные данные. Когда учетные данные отправлены, приложение в свою очередь проверило бы те учетные данные против каталога и затем ответило бы соответственно (в мире.NET, Вы могли использовать Аутентификацию Форм http://msdn.microsoft.com/en-us/library/aa480476.aspx для принуждения доступа к приложению через эту страницу входа в систему). Так как приложение делает учетную проверку, Вы разбогатели информация относительно природы отказа входа в систему. Кроме того, даже если вход в систему успешно выполняется, но существует релевантная информация для отображения пользователю, например, их пароль истечет вскоре, и т.д., это обеспечивает возможность сделать так.
ОБНОВЛЕНИЕ: Я забыл упоминать, что при принятии этого подхода необходимо будет предоставить анонимный доступ к корневому каталогу приложения IIS. Это предоставит доступ к веб-странице входа в систему без первой попытки автоматической аутентификации NTLM. Вам решать, ли Вы уезжаете, аутентификация NTLM включила; возможно, Вы действительно хотите некоторые клиенты к все еще, автоматически входят в систему.