大家好,今天小编来为大家解答sso服务器这个问题,如何设置很多人还不知道,现在让我们一起来看看吧!
一、sso是什么意思
sso意思就是通过用户的一次*鉴别登录。
单点登录就是通过用户的一次*鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的。
这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗,辅助了用户管理,是比较流行的。
单点登录该协议通过多个系统之间的用户身份信息的*来实现单点登录。使用单点登录系统时,用户只需要登录一次,就可以访问多个系统,不需要记忆多个口令密码。单点登录使用户可以快速访问网络,从而提高工作效率,同时也能帮助提高系统的安全*。
实现机制:
当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统中进行登录;根据用户提供的登录信息,认证系统进行身份校验,如果通过校验,应该返回给用户一个认证的凭据。
用户再访问别的应用的时候就会将这个ticket带上,作为自己认证的凭据,应用系统接受到请求之后会把ticket送到认证系统进行校验,检查ticket的合法*。如果通过校验,用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。
二、sso服务错误是什么意思
意思是网络通信超时,网络连接不上。
单点登录(SingleSignOn,SSO),就是通过用户的一次*鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的。
这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗,辅助了用户管理,是目前比较流行的。
要实现SSO,需要以下主要的功能:
系统共享
统一的认证系统是SSO的前提之一。认证系统的主要功能是将用户的登录信息和用户信息库相比较,对用户进行登录认证;认证成功后,认证系统应该生成统一的认证标志(ticket),返还给用户。另外,认证系统还应该对ticket进行校验,判断其有效*。
信息识别
要实现SSO的功能,让用户只登录一次,就必须让应用系统能够识别已经登录过的用户。应用系统应该能对ticket进行识别和提取,通过与认证系统的通讯,能自动判断当前用户是否登录过,从而完成单点登录的功能。
三、如何实现 与windows 的sso
1、windows域登录与SSO服务器整合
1.1分析:windows域登录过程采用Kerberose v5协议进行登录,过程非常复杂,并且登录中身份认证以及域的权
限整合在一起。要剥离身份认证和权限赋权非常困难。要整合现有的SSO服务器,可以考虑,采用windows域控制器
统一管理用户,SSO服务器采用该域控制器的Active Directory中的用户信息。windows工作站(比如winxp)登录
域过程中,保持原域登录的过程,在其中添加SSO服务器的登录过程。
1.2实现:通过修改GINA模块,在windows工作站(比如winxp)登录域过程中,winlogon调用GINA组模块,把用户
提供的账号和密码传达给GINA,由GINA负责在域控制器中以及SSO服务器中账号和密码的有效*验证,然后把验证
结果反馈给Winlogon程序,只有域控制器和SSO服务器同时认证成功,才是登录成功。
另外开发一个DLL程序,暂时称为SSOLogin模块,GINA在登录成功后,将SSO的登录信息传递给SSOLogin模块,动力
工作站在启动时,首先调用SSOLogin模块,判断已经登录的用户,然后通过动力工作站访问其他应用时,就可以通
过SSO服务器进行单点登录。
1.3技术点:
(1)通过jCIFS实现SSO服务器在Active Directory进行域登录。
(2)采用WFC开发框架对GINA.dll进行修改,在注册表中进行注册
1.4风险难点:(1)、windows域登录过程的分析与改造。(2)、windows的应用不开源,代码分析会比较困难。
1.5其他:是否还考虑linux操作系统加入windows域的过程?
1.6 winxp登录域过程如下:
(1).用户首先按Ctrl+Alt+Del组合键。
(2).Winlogon检测到用户按下SAS键,就调用GINA,由GINA显示登录对话
框,以便用户输入账号和密码。
(3).用户选择所要登录的域和填写账号与密码,确定后,GINA将用户输入的
信息发送给LSA进行验证。
(4).在用户登录到本机的情况下,LSA将请求发送给Kerberos验证程序包。
通过散列算法,根据用户信息生成一个密钥,并将密钥存储在证书缓存区中。
(5).Kerberos验证程序向KDC(Key Distribution Center--密钥分配中心)发
送一个包含用户身份信息和验证预处理数据的验证服务请求,其中包含用户证
书和散列算法加密时间的标记。
(6).KDC接收到数据后,利用自己的密钥对请求中的时间标记进行解密,通
过解密的时间标记是否正确,就可以判断用户是否有效。
(7).如果用户有效,KDC将向用户发送一个TGT(Ticket-Granting Ticket--
票据授予票据)。该TGT(AS_REP)将用户的密钥进行解密,其中包含会话密钥、
该会话密钥指向的用户名称、该票据的最大生命期以及其他一些可能需要的数
据和设置等。用户所申请的票据在KDC的密钥中被加密,并附着在AS_REP中。
在TGT的授权数据部分包含用户账号的SID以及该用户所属的全局组和通用组的
SID。注意,返回到LSA的SID包含用户的访问令牌。票据的最大生命期是由域
策略决定的。如果票据在活动的会话中超过期限,用户就必须申请新的票据。
(8).当用户试图访问资源时,客户系统使用TGT从域控制器上的Kerberos
TGS请求服务票据(TGS_REQ)。然后TGS将服务票据(TGS_REP)发送给客户。该
服务票据是使用服务器的密钥进行加密的。同时,SID被Kerberos服务从TGT复
制到所有的Kerberos服务包含的子序列服务票据中。
(9).客户将票据提交到需要访问的网络服务上,通过服务票据就能证明
用户的标识和针对该服务的权限,以及服务对应用户的标识。
四、手机sso通信超时什么意思
什么是手机SSO通信超时?
手机SSO通信超时是指在使用单点登录(SSO)时,手机客户端与服务器之间的通信出现了超时错误。在此过程中,手机客户端向服务器发送请求,但由于某些原因,服务器无法及时响应请求,导致通信超时。
通信超时的通信超时可能由多种原因引起,以下是一些常见的原因:
网络不稳定或网络延迟较高。
服务器负载过高,无法及时响应请求。
服务器故障或维护中。
客户端请求过于频繁,导致服务器拒绝服务。
客户端代码或配置错误,导致请求无法正常发送。
如何解决通信超时问题?
以下是一些常见的解决方案:
检查网络连接是否正常,并尝试使用其他网络连接。
检查服务器负载情况,如果负载过高,可以考虑增加服务器资源。
检查服务器是否正常运行,并排除故障。
减少客户端请求频率,避免服务器拒绝服务。
检查客户端代码或配置,确保请求正常发送。
如果以上方法都无法解决问题,可以联系技术支持或开发人员进行进一步的排查和解决。
五、sso通信超时什么意思
sso通信超时意思是网络通信超时,网络连接不上。
单点登录(SingleSignOn,SSO),就是通过用户的一次*鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的。
这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗,辅助了用户管理,是目前比较流行的。
单点登录(SingleSign-On,SSO)是一种帮助用户快捷访问网络中多个站点的安全通信技术。单点登录系统基于一种安全的通信协议,该协议通过多个系统之间的用户身份信息的*来实现单点登录。
使用单点登录系统时,用户只需要登录一次,就可以访问多个系统,不需要记忆多个口令密码。单点登录使用户可以快速访问网络,从而提高工作效率,同时也能帮助提高系统的安全*。
六、如何设置***SSO***服务器
每次使用 ssomanage时,必须先将用户指向您要连接的单一登录服务器。
可以通过两种方法执行此操作:
各用户可以自己指向正确的单一登录服务器。
单一登录服务器的本地计算机管理员可以将 Single Sign-On Users帐户的所有成员指向此服务器。
使用 MMC管理单元设置企业单一登录服务器
单击启动,,单击所有程序,,单击 Microsoft Enterprise上单一登录,,然后单击 SSO管理。
在 MMC管理单元中下控制台根节点,,右键单击企业单一登录,,然后单击选择。
浏览到所需服务器。
根据需要选择设置 SSO服务器的所有用户复选框。
单击“确定”。
若要为单个用户使用命令行设置企业单一登录服务器
上启动菜单上,单击运行,,然后键入 cmd。
在命令行提示符下,转至企业单一登录安装目录。默认安装目录是<驱动器>:\program Files\Enterprise单一登录。
类型 ssomanage-服务器< SSO服务器名>,,其中< SSO服务器名>是用户想要连接到单一登录服务器的计算机名称。
说明
在支持用户帐户控制(UAC)的系统上,可能需要具有管理权限才能运行该工具。
若要使用命令行的所有用户都设置企业单一登录服务器
上启动菜单上,单击运行,,然后键入 cmd。
在命令行提示符下,转至企业单一登录安装目录。默认安装目录是<驱动器>:\program Files\Enterprise单一登录。
类型 ssomanage-serverall< SSO服务器名>,,其中< SSO服务器名>是帐户将被指向单一登录在用户的所有成员的单一登录服务器的计算机名称。
说明
在支持用户帐户控制(UAC)的系统上,可能需要具有管理权限才能运行该工具。
若要确定企业单一登录到用户所连接的服务器使用命令行
上启动菜单上,单击运行,,然后键入 cmd。
在命令行提示符下,转至企业单一登录安装目录。默认安装目录是<驱动器>:\program Files\Enterprise单一登录。
类型 ssomanage-showserver。