本发明专利技术公开了利用单点登录结合命令行接口防止密码泄漏。提供了一种技术,用于把轻量级域访问协议(LDAP)请求从用户接口应用(UIA)传送到LDAP服务器;响应于LDAP请求的传送而在UIA接收LTPA令牌;从UIA向与一个应用关联的命令行接口传送所述LTPA令牌连同要由所述应用执行的命令;由所述应用验证LTPA令牌;以及响应于所述验证而由所述应用执行所述命令的技术。所述技术还包括从所述应用向与第二应用关联的第二命令行接口传送所述LTPA令牌连同要由第二应用执行的第二命令;由第二应用验证所述LTPA令牌;以及响应于由第二应用进行的验证而由第二应用执行第二命令。
【技术实现步骤摘要】
用于单点登录的方法和装置
要求保护的主题总体上涉及计算机安全,而且更具体地说,涉及对命令行接口提供单点安全登录。
技术介绍
对计算工具和命令行接口的访问可能需要用户ID和密码的输入。一般而言,为多种行为采用命令行接口,诸如但不限于起动服务器、改变配置等。命令行接口还可以用来处理诸如打开或关闭安全性的安全配置。有些工具接受提供必要登录认证信息的安全证书。此外,用户可以经程序或应用访问计算工具和命令行接口。通常,这种访问使用户必需为每次访问尝试提供任何所需的用户ID、密码和凭证。许多程序不允许级联的凭证,这使得或者难以或者不可能对许多应用与命令行接口提供安全的单点登录(SSO)。解决这个问题的一条可能途径是由每个访问的应用或程序维护为能够访问程序和命令行接口的用户管理凭证的凭证库(credentialvault)。
技术实现思路
提供了对命令行接口进行安全的单点登录(SSO)的技术。需要安全SSO的命令行接口与程序提供使用户能够传递可以用于认证用户的令牌,诸如轻量级第三方认证(LTPA)或LTPA2令牌,的选项。以这种方式,不再需要先前可用的凭证管理方案。提供了一种技术,用于把轻量级域访问协议(LDAP)请求从用户接口应用(UIA)传送到LDAP服务器;响应于LDAP请求的传送,在UIA接收LTPA令牌;从UIA向与一个应用关联的命令行接口传送所述LTPA令牌连同要由所述应用执行的命令;由所述应用验证LTPA令牌;以及响应于所述验证,由所述应用执行所述命令。所述技术还包括:从所述应用向与第二应用关联的第二命令行接口传送所述LTPA令牌连同要由第二应用执行的第二命令;由第二应用验证所述LTPA令牌;以及响应于由第二应用进行的验证,由第二应用执行第二命令。本概述不是要作为要求保护的主题的综合描述,而是要提供对与其关联的一些功能性的简要概述。通过检查下图和具体描述,要求保护的主题的其它系统、方法、功能性、特征与优点将或者将变得对本领域技术人员显而易见。附图说明当结合附图考虑以下对所公开实施例的具体描述时,可以获得对要求保护的主题的更好理解,其中:图1是可以实现要求保护的主题的计算系统体系架构的一个例子。图2是根据要求保护的主题,说明用户、用户接口(UI)应用、轻量级域访问协议(LDAP)服务器与命令行接口(CLI)之间关系的框图。图3是说明UI应用、web组件,C1、C2…CM,与LDAP服务器之间关系的框图。图4是可以实现要求保护的主题各方面的“得到令牌(GetToken)”过程的一个例子的流程图。图5是可以实现要求保护的主题各方面的“建立连接(EstablishConnection)”过程的一个例子的流程图。具体实施方式所属
的技术人员知道,本专利技术的各个方面可以实现为系统、方法或计算机程序产品。因此,本专利技术的各个方面可以具体实现为以下形式,即:完全的硬件实施例、完全的软件实施例(包括固件、驻留软件、微代码等),或硬件和软件方面结合的实施例,这里可以统称为“电路”、“模块”或“系统”。此外,在一些实施例中,本专利技术的各个方面还可以实现为在一个或多个计算机可读介质中的计算机程序产品的形式,该计算机可读介质中包含计算机可读的程序代码。可以采用一个或多个计算机可读介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、RF等等,或者上述的任意合适的组合。可以以一种或多种程序设计语言的任意组合来编写用于执行本专利技术操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。下面将参照根据本专利技术实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述本专利技术。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机程序指令实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些计算机程序指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机程序指令存储在计算机可读介质中,这些指令使得计算机、其它可编程数据处理装置、或其他设备以特定方式工作,从而,存储在计算机可读介质中的指令就产生出包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的指令的制造品(articleofmanufacture)。计算机程序指令还可以加载到计算机、其它可编程数据处理装置或者其它设备上,使得一系列操作步骤在计算机、其它可编程装置或者其它设备上执行,产生一种计算机实现的过程,使得在所述计算机或者其它可编程装置上执行的指令提供用于实现在所述流程图和/或框图中一个或多个方框中规定的功能/动作的过程。现在转向附图,图1是可以实现根据所公开技术的单点登录(SSO)过程的计算系统体系架构100的一个例子。计算系统102包括耦合到监视器106的中央处理单元(CPU)104、键盘108以及定点设备或“鼠标”110,这些组件一起方便人与体系架构100和计算系统102的其它元件交互。也包括在计算系统102中并且附连到CPU104的是计算机可读存储介质(CRSM)112,它或者可以结合到CPU104中(即内部设备),或者通过各种常用的连接设备,诸如但不限于通用串行总线(USB)端口(未示出),在外部附连到CPU104。CRSM112被示出为存储计算机应用的一个例子,即app_1114。app_本文档来自技高网...
【技术保护点】
一种方法,包括:从用户接口应用(UIA)向轻量级域访问协议(LDAP)服务器传送LDAP请求;响应于LDAP请求的传送,在UIA接收轻量级第三方认证(LTPA)令牌;从UIA向与一个应用关联的命令行接口传送所述LTPA令牌连同要由所述应用执行的命令;由所述应用验证所述LTPA令牌;以及响应于所述验证,由所述应用执行所述命令。
【技术特征摘要】
2013.03.16 US 13/844,8591.一种用于单点登录的方法,包括:从用户接口应用UIA向轻量级域访问协议LDAP服务器传送LDAP请求;响应于LDAP请求的传送,在UIA接收轻量级第三方认证LTPA令牌;从UIA向与一个应用关联的命令行接口连同要由所述应用执行的命令一起传送所述LTPA令牌;由所述应用验证所述LTPA令牌;以及响应于所述验证,由所述应用执行所述命令。2.如权利要求1所述的方法,还包括:从所述应用向与第二应用关联的第二命令行接口连同要由第二应用执行的第二命令一起传送所述LTPA令牌;由第二应用验证所述LTPA令牌;以及响应于由第二应用进行的验证,由第二应用执行所述第二命令。3.如权利要求1所述的方法,其中,响应于所述验证,所述应用不需要用户名和密码来执行命令。4.如权利要求1所述的方法,还包括由命令行接口暴露使UIA能够传送LTPA令牌而不是用户名和密码的选项。5.如权利要求1所述的方法,其中用户名和密码不在执行历史、外壳日志和操作系统中的过程任何一个中出现,其中每个都对应于所述应用。6.如权利要求1所述的方法,其中,对于要执行的命令,在UIA与应用之间不需要凭证管理。7.一种用于单点登录的装置,包括:处理器;耦合到处理器的非过渡性的计算机可读存储介质CRSM;以及存储在CRSM上并且在处理器上执行的逻辑电路,用于:从用户接口应用UIA向轻量级域访问协议LDAP服务器传送LDAP请求;响应于LDAP请求的传送,在UIA接收轻量级第三方认证LTPA令牌;从UIA向与一个应用关联的命令行接口连同要由所述应用执行的命令一起传送所述LTPA令牌;由所述应用验证所述LTPA令牌;以及响应于所述验证,由所述应用执行所述命令。8.如权利要求7所述的装置,所述逻辑电路还包括用于以下的逻辑电路:从所述应用向与第二应用关联的第二...
【专利技术属性】
技术研发人员:G·谷帕特,L·T·拉加曼尼卡曼,A·拉玛科瑞什纳,R·舍太,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。