On Mon, 2002-03-18 at 11:00, Mihai RUSU wrote: > > altceva. Ce parere ai de Kerberos 5?
In general buna. :-) > Adica vreau sa fac auth o singura data (de aia vreau kerberos like) si > apoi sa intru pe diferite device-uri (linux-ssh, cisco switches and > routers etc...). De asemenea stii de vre-un patch pentru a integra OTP cu > Kerberos 5? De exemplu OPIE ? Hmmm... E cu dus si-ntors. Probabil ca depinde de cerintele locale de securitate. Faza asta cu "ma autentific o data, si-apoi intru unde vreau" sau chiar "nu ma autentific niciodata, si intru unde vreau (chei publice/private SSH)" impinge de fapt raspunderea securitatii in circa workstationului tau. Lucru care poate fi bun sau nu, depinde de policy-ul local. Spre exemplu, noi dizablam immediatamente cheile pe serverele SSH si nu lasam decit autentificare cu parola. Care e de fapt OTP generata hardware (carduri la purtator, parolate individual cu PIN, etc.). Transportul e Radius, cu secrete updatate periodic. Serverele centrale de OTP fac tot felul de chestii destepte, cum ar fi "lock cind densitatea de failed attempts depaseste o anume valoare", etc. Which is quite secure, methinks... ;-) Se poate si mai rau. :-) Exemplu: institutiile financiare si bancare. Prietenii stiu cum. ;-) Ca s-o scurtez, si s-o zic p-a dreapta, nu stiu sa combin Kerberos cu OTP, ca nici n-am incercat macar, din cauza de policy. Dar asta nu inseamna ca n-as fi curios sa aud o solutie, daca exista. ;-) -- Florin Andrei I think spammers should be forced to pay by donating an organ for each forged header. --- Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to unsubscribe from this list.
