AD域电脑直接登陆插件

我是社区第55902位番薯,欢迎点我头像关注我哦~
应用场景:当某个域是我们系统信任的域,用户也同步后。我们是否希望我用域账号登陆到电脑后,再登陆FR时不需要再输入用户名密码就能登陆呢?(因为电脑的用户名密码跟FS的用户名密码是一致的,我们能不能做成单点登陆呢)
类比:假设我在A银行办理了一张卡,我现在拿着这张卡去取钱,所有A银行的人都知道我是这张卡的主人,但是为啥还是要我输入一次密码才能取钱呢?从理论上来说这个是不科学的。密码本身就是为了保证人和操作的账户是对应的。那么既然有除了密码以外的其他方式,为什么我们不用呢~这里就是我们要做的东西了~怎样用密码之外的东西来确认你是你。

原理很简单:当域用户登陆的时候,会记录下用户 域名 IP,当我们的客户端工具启动时,会跟FS协商一个临时基于IP和时间和MAC等等因素生成随机公钥。客户端用公钥加密另外一些因子(加密算法和因子保密),传递给FS,FS解密提取这些因子,匹配~匹配上了说明是安全的访问,OK然后再根据这个安全访问的IP去AD控制器上获取对应的用户名。拿到用户名后直接登陆到FS就OK了~

当然任何一种机制都不可能百分百的安全:这个方案如果一个人他知道域内某个已经登陆的用户的IP  MAC 用户名等等信息~他可以伪装为别人的IPMAC之类的(不是直接改IP,那样是会掉线的,而是通过工具代理)~然后就可以用这个客户端去登陆了~(其实这个也是能防御的,只是现在还没做~)

最终这个本质还是通过IP MAC 用户名 域名 来作为登陆确认的条件的~只是为了防止别人伪造信息登陆,所以我们需要用加密和握手协议来防止replay攻击。

发表于 2019-2-11 15:20:33
请问现在有这个插件了吗?
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

1回帖数 1关注人数 5177浏览人数
最后回复于:2019-2-11 15:20

返回顶部 返回列表