Active directory 开发集成的用户管理、身份验证

我们要求建立一个集中使用管理和认证系统，用户可以分配角色，设置/撤销密码等

系统必须在windows上与其他windows计算机进行通信。然而，如果它可以扩展到运行vxworks的嵌入式工业控制器，它将是有用的

虽然我对Radius、Kerberos、LDAP和active directory知之甚少，但我仍在努力理解这些不同的技术是如何结合在一起的

知道Vxworks支持Radius，并且对kerberos也有一些支持，这将是支持这种功能的最佳解决方案

---

此外，任何人都可以推荐一种解释，说明各种技术是如何结合在一起支持用户管理的。

Kerberos是一种身份验证和密钥分发协议。它允许客户端和服务器等对等方（称为“安全主体”）相互证明其身份，并保护它们之间的后续通信。它要求通过网络提供名为“密钥分发中心”或KDC的身份验证服务器，以便进行身份验证，但并非每个成员每次操作都需要访问KDC（例如，服务器不需要联系KDC，但客户端需要），凭据通常被缓存，因此需要更少的网络往返。缓存机制以比缓存密码更安全的方式提供单次登录，因为缓存的凭据在一段时间后过期，不能用于更改密码。它还有一个内置的概念，即Kerberos安全域之间的联合，称为“领域”。Kerberos的一大实际好处是，它是同类系统中最普遍实现和可用的系统：它可以通过SASL和GSSAPI等抽象方案在各种协议中使用，而且这些都在许多平台上广泛实现，包括Unix和Windows。适用于各种协议和应用程序（包括IMAP、POP、SMTP、SSH、LDAP、Subversion、NFS、HTTP等）的流行客户端和服务器支持Kerberos，并且可以使用单个基础结构（在不同程度上）进行安全保护

RADIUS在单个协议中提供身份验证、授权和记帐（“AAA”）。它主要用于路由器、交换机、VPN网关、WiFi接入点等网络设备，为管理访问和用户提供身份验证，然后还提供授权（允许用户执行的操作）和记帐（记录操作）。身份验证通过在RADIUS上隧道的各种独立机制进行，如EAP、PEAP和MS-CHAP

LDAP是一种目录访问协议：LDAP服务器存储有关通过X.500“可分辨名称”命名的节点的信息，与您在X.509公钥证书中看到的相同，例如“CN=Richard e.Silverman，ST=NY，O=My Company”。节点具有属性，LDAP客户端通过各种方式向服务器查询给定节点的属性，包括搜索节点名称空间的整个子树、模式匹配和指示应返回哪些属性的过滤器

LDAP作为一种“身份验证协议”经常会引起一些混淆，而这并不是它的主要用途。这是因为许多需要验证用户名/密码对的系统都提供“LDAP身份验证”作为一种验证方法。这意味着系统将联系LDAP服务器，使用提供的用户名和密码对其进行身份验证，然后在不发出LDAP目录查询的情况下断开连接。因此，它使用LDAP的安全性作为密码验证服务。这与它使用SSH登录到给定主机，然后立即注销相同，使用登录的成功或失败来验证用户的密码

---

“Active Directory”是Microsoft市场营销、产品和技术术语。它不是指像上述术语一样的单一协议；相反，它命名了一个包含多个协议（包括Kerberos、LDAP和DNS）的总体系统，这些协议由“域控制器”实现，为一组Windows主机提供全面的安全、命名和管理服务。

Kerberos是一种身份验证和密钥分发协议。它允许客户端和服务器等对等方（称为“安全主体”）相互证明其身份，并保护它们之间的后续通信。它要求通过网络提供名为“密钥分发中心”或KDC的身份验证服务器，以便进行身份验证，但并非每个成员每次操作都需要访问KDC（例如，服务器不需要联系KDC，但客户端需要），凭据通常被缓存，因此需要更少的网络往返。缓存机制以比缓存密码更安全的方式提供单次登录，因为缓存的凭据在一段时间后过期，不能用于更改密码。它还有一个内置的概念，即Kerberos安全域之间的联合，称为“领域”。Kerberos的一大实际好处是，它是同类系统中最普遍实现和可用的系统：它可以通过SASL和GSSAPI等抽象方案在各种协议中使用，而且这些都在许多平台上广泛实现，包括Unix和Windows。适用于各种协议和应用程序（包括IMAP、POP、SMTP、SSH、LDAP、Subversion、NFS、HTTP等）的流行客户端和服务器支持Kerberos，并且可以使用单个基础结构（在不同程度上）进行安全保护

RADIUS在单个协议中提供身份验证、授权和记帐（“AAA”）。它主要用于路由器、交换机、VPN网关、WiFi接入等网络设备