|
ru.unix
- RU.UNIX ----------------------------------------------------------------------
From : Dennis Vshivkov 2:5042/7 22 Jan 2007 23:32:47
To : Victor Wagner
Subject : Re: Single sign on
--------------------------------------------------------------------------------
DV>> А если всё-таки используется Kerberos, то обеспечивает
DV>> single sign on и для login, и для ssh (вкупе со всем, что
DV>> через него суют), и для imap, и afs, и ещё много чего. SSH
DV>> ещё и ticketы пересовывать умеет.
VW> У Кербероса есть такой недостаток, что он обеспечивает
VW> single sign on только внутри одной конторы. Вернее, внутри
VW> группы компьютеров, находящихся под единым административным
VW> контролем.
Это верно, есть такая черта. Hе следует, всё-таки,
рассматривать её непременно как недостаток. Разумную анархию я и
сам люблю, но только не меняю же я масло в машине каждый раз
лично, пусть и способен прекрасно это сделать. Возможность
передать права и обязанности -- это и достоинство.
VW> Вот с какого перепуга я буду пускать на свой ноутбук
VW> кого-то, кому выдал тикет конторский Керберос-сервер?
А с какого перепугу сей Kerberos-сервер знает секретный host
key твоего notebookа для сервиса ssh, чтоб тот ticket выписать?
Это для начала. А чтобы пускать не всякого с ticketом, а только
избранных, у ssh особые ручки есть. Такой дополнительный метод
аутентификации, всего-то. Я вот на свой пускаю только самого
себя, но вполне доверяю конторскому ticketу на своё имя. Взамен
без дополнительных паролей хожу на все прочие машины, где нет
против меня паранойи, а также пользуюсь IMAP, AFS, subversion и
прочим.
Kerberos -- это не альтернатива ssh, и наоборот. Их можно и
часто полезно использовать совместно. Это single sign on для HЕ
ТОЛЬКО ssh, но и всего прочего, находящегося под тем самым
единым контролем. Их можно и часто нужно использовать совместно.
VW> А ssh обеспечивает sigle sign on для всех компьютеров, к
VW> которым есть право доступа у данного юзера. Hезависимо от
VW> того, кто их администрирует.
В каком-то роде это то же самое: тоже группа компьютеров,
находящихся под единым доступом, только не административным, а
юзерским... А с какого бодуна пользователям IMAP-сервера
непременно давать там shell? Можно, положим, дать по ssh-ключу
команду imapd. Hо как по нему дать, скажем, AFS? Или smb? Или
HTTP?
Задачу уменьшения количества необходимых credentials
Kerberos, IMHO, решает лучше, полнее SSH. То, что в его текущей
реализации управление централизовано, конечно, сужает область
его применения. Hо для это не повод совать весь мир в SSH --
можно взамен предметно помечтать о децентрализованной модели
раздачи доступа для Kerberos. :)
--
/Awesome Walrus <walrus@amur.ru>
...Я знаю, что будет потом, да, я знаю, но я ничего не могу...
--- tin/1.7.8-20050315 ("Scalpay") (UNIX) (Linux/2.6.17-2-k7 (i686))
* Origin: AVATAR, стерегущий баржу (2:5042/7@fidonet.org)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: Single sign on |
Dennis Vshivkov |
22 Jan 2007 23:32:47 |
|
|
