В Пнд, 12/10/2009 в 21:53 +0400, Evgeny Sinelnikov пишет: > 12 октября 2009 г. 15:13 пользователь Paul Wolneykien > <mano...@altlinux.org> написал: > > > > Всем привет, > > > > В ходе обсуждения текущего состояния модулей alterator-openldap и > > alterator-ldap-users, у нас с Димой (dkr@) возник вопрос о том, каким > > вообще должно быть правильное построение авторизации управляющего модуля > > в управляемые службы? > > > > Давайте уточним вопрос о том, что мы называем авторизацией, а что > аутентификацией?
Речь про аутентификацию, естественно. Наверное, следовало так и написать, да? :p > Если я правильно понял, то вы имеете в виду единый механизм > аутентификации. Такой механизм существует. Он называется Kerberos. > Разработан он в MIT и уже давно активно используется. В ПП есть некоторая поддержка Кербероса. Поэтому этот вариант уже был взят на заметку. Но вот ведь в чём вопрос: наверняка не все сервисы поддерживают аутентификацию через Керберос. Взять тот же LDAP. Как в рамках вызова команды ldapsearch, например, сказать, что "у меня есть тикет, пустите"? В man ldapsearch упоминается некий SASL как подсистема аутентификации. Может быть через него? А MySQL? А Samba? Однако, если окажется, что самые популярные сервисы пускают по билетам, то значит велосипед изобретать не нужно. > > В частности, на нём построена и Microsoft Active Directory, которая и > является, по сути, системой управления сетевыми сервисами. > > В принципе, Kerberos можно использовать и отдельно от единого > механизма авторизации (LDAP, MySQL, etc). Например, именно так его > используют в простых решениях описанных в документации по безопасности > для FreeBSD. Последняя, конечно, не является примером для подражания, > но, как пример, посмотрите. Кроме того, у Димы почему-то были возражения на счёт Кербероса на всех узлах. Аргументы были примерно такими: "а что если сеть 'простая' и там нет Kerberos?". 2dkr@: Существует ли проблема развёртки Kerberos на каждом из узлов? Если да, то в чём она заключается? И что, по твоему мнению, поможет облегчить развёртку? Паша. _______________________________________________ devel-conf mailing list devel-conf@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/devel-conf