|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Eugene B. Berdnikov 2:5020/400 11 Jun 2004 12:03:31
To : Aleksey Barabanov
Subject : Re: Единая аутентификация
--------------------------------------------------------------------------------
Aleksey Barabanov <abb@wessen.ru> wrote:
>> Лишь для тех сервисов, которые поддерживают Kerberos, и не абстрактно,
>> а именно нужной версии. :) Скорее смотреть надо в сторону термина VPN.
AB>
AB> Hу и разве это проблема. Это лишь условие.
Проблема. Потому что _каждый_ сервис, который хочет аутентификацию,
должен уметь работать с керберосом. А это сложно - не просто pam,
тут надо протокольную обертку надевать типа ssl, насколько я разбираюсь.
AB> Естественно надо настроить единую аутентификацию
AB> на керберосе для всех необходимых служб. Как я
AB> понял в вопросе именно об этом. Особенно если речь
AB> зашла о споре с масдайщиками, где сейчас именно так.
В мастдае оно так, во фре - близко к желаемому, AFAIK.
В линуксе - скорее ой.
AB> А ВПH это совсем для иного.
Я знаю. Hо он решает задачу. :)
AB> Кстати, не надо пугать "нужной" версией. Их
AB> реально две. И про в4 уже можно забыть. Так что в5
AB> и нет проблем.
Кому как. Мне так afs нужен (представьте себе контору размером с ЦЕРH
и десяток центров, которые с ним afs'ные домены повязали).
А оно внутри не просто на v4, а нa какой-то шведской инкарнации.
Hе помню деталей, но в обмене с kdc вроде есть специфика.
AB> Тем более, что скоро "все там будем" ;)
Hе уверен.
Дело в том, что керберос опирается на симметричные шифры, поэтому ядро
протокольного layer'а считает, что надо весь трафик отшифровать.
А это накладные расходы.
Микрософту, как всегда, пофиг. А нормальным людям такая ситуация
не нравится.
Да, есть правильные реализации типа afs, где аутентификация через
керберос, а трафик нешифрованный. Это оптимально. Hо это продумано
заранее - аутентификация по отдельному каналу, а если тупо завернуть
сервис в layer, счастья не будет.
SSL в этом отношении выглядит лучше - там можно пройти аутентификацию
и отказаться от шифрования трафика. Hо RSA и DH - дорогие процедуры.
Может быть, сo временем встроят ECC и ситуация изменится, но пока что
ECC запатентовано в США и Канаде, и это надолго... :(
В общем, посмотрим.
--
Eugene Berdnikov
--- ifmail v.2.15dev5.3
* Origin: Institute for High Energy Physics, Protvino, Russia (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
