为什么 kerberos 通常与 Openam 一起使用？答案

【问题标题】：Why is kerberos commonly used with Openam?为什么 kerberos 通常与 Openam 一起使用？
【发布时间】：2016-12-04 14:38:47
【问题描述】：

对于学校项目，我们必须通过 SAML 连接将 Wildfly 与 Kerberos 和 OpenAM 绑定在一起。我在互联网上搜索并读到kerberos和openAM通常一起使用。

我不明白为什么。

kerberos 和 openAM 是用于单点登录的两种协议。所以你可以使用 Kerberos 或 OpenAM。

【问题讨论】：

Kerberos 是在 Internet 流行之前设计的一种网络身份验证协议，因此它实际上只用于内部网络。 Kerberos 的功能低于后来开发的 OpenAM。更高级别的 OpenAM 将不同的协议链接在一起，以实现更强大的身份验证结构。但它并没有取代 Kerberos。在架构决策的某个时刻，必须决定 OpenAM 将使用哪些低级协议来验证用户或服务。 OpenAM 还可以通过网络联合不同的实体（想想不同的公司）。有意义吗？
我明白了！谢谢。
您好，Jur，我会将我之前的回复放入“Answer”表格，请不要忘记返回并按下其上的“接受”按钮，以便其他人在他们'正在搜索相同的问题...

标签： wildfly kerberos saml openam opensso

【解决方案1】：

Kerberos 是在 Internet 流行之前设计的网络身份验证协议，因此它实际上只用于内部网络。 Kerberos 的功能低于后来开发的 OpenAM。更高级别的 OpenAM 将不同的协议链接在一起，以实现更强大的身份验证结构。但它并没有取代 Kerberos。在架构决策的某个时刻，必须决定 OpenAM 将使用哪些低级协议来验证用户或服务。 OpenAM 还可以通过网络联合不同的实体（想想不同的公司）。

【讨论】：

【解决方案2】：

Kerberos 是一种协议。 OpenAM 是一种产品。

OpenAM 在底层可以使用 Kerberos、SAML 2.0、OpenID Connect、WS-Federation 等。

【讨论】：

谢谢！但是为什么要同时使用 Kerberos 和 SAML？使用 Kerberos，您可以在票证顶部 OpenAM 中发送身份验证数据，在 SAML 中，您还可以将身份验证数据以不同的包发送到 OpenAM。
Kerberos 票证不是标准的 wrt。联邦。因此，如果您联合 OpenAM 和 ADFS，例如您需要一个 SAML 令牌（这是一个标准）来流经各个提供商。
所以如果我是对的，客户端（webbrowser）使用 kerberos 代理将用户名和密码发送到应用程序服务器（Wildfly），然后 Kerberos 代理通过 SAML 将身份验证数据包发送到 openAM 和openAM 检查数据库中的凭据是否正确，并通过 SAML 将 kerberos 票证发送回 Wildfly？
更正：客户端（网络浏览器）通过 Wildfly 请求资源。 Wildfly 重定向到 OpenAM，浏览器请求 SAML 令牌以接收令牌，需要进行身份验证。 Kerberos 将处理浏览器和 OpenAM 之间的身份验证。如果用户凭据正确，OpenAM 会检查数据库，如果是这种情况，OpenAM 会将 SAML 令牌发送回浏览器。然后浏览器使用 SAML 令牌请求资源，wildfly 将提供请求的资源。
我的 2 美分：OpenAM 中的 Kerberos 仅用于“自动登录”而不用于单唱