|
ru.unix
- RU.UNIX ----------------------------------------------------------------------
From : Dennis Vshivkov 2:5042/7 23 Jan 2007 00:05:29
To : Victor Wagner
Subject : Re: Single sign on
--------------------------------------------------------------------------------
EBB>> SSH обеспечивает лишь для тех сервисов, которые умеют
EBB>> ходить под ssh. А керберос - для всех зомбированных...
VW> При этом, будучи протоколом удаленного выполнения команд,
VW> он для решения очень большого количества задач позволяет
VW> вообще обойтись без понятия "сервис".
Чем реже, дольше и однопоточнее работает команда, тем лучше
позволяет. Чем чаще, быстрее и параллельнее, тем хуже.
То есть банан большой, но кожура -- больше. :)
VW> Как правило, "сервис, умеющий ходить через ssh" - это не
VW> более чем интерфейсные рюшечки. Обеспечение дополнительного
VW> удобства для решения задачи.
Где купить рюшечки для хождения через ssh по, скажем, Web?
Hе к отдельно взятому личному серверу или там через socks, а en
masse? А по сетевой FS?
Hе то, чтобы Kerberos подходил для всего Web или работал со
всеми сетевых FS. Hо его рюшечки хотя бы не превращают платье в
модный паровоз: поди-ка попроверяй RSA-ключ на каждый open() или
GET.
VW> Если у нас нет imapd с поддержкой preauthentication, мы в
VW> принципе, можем и без IMAP обойтись. Запустить на той
VW> стороне почтовый клиент с помощью интерактивной ssh-сессии
VW> и вперед. Если у нас система контроля версии не умеет через
VW> ssh тунелиться, мы можем выписать рабочую копию на той
VW> стороне, и синхронизировать её с настоящей рабочей копией с
VW> помощью rsync или даже банального scp.
VW> Hо, так как мы знаем, что при решении этих задач bottleneck
VW> проходит не между терминалом и программой, а между
VW> программой и хранилищем данных, то нам удобнее научить
VW> программу пробрасывать доступ к хранилищу через ssh.
Угу. А то почтовый клиент на той стороне, докуда осязаемые
задержки, в петлю загонит.
VW> Это позволяет нам использовать интерфейс между юзером и
VW> программой, более требовательный к полосе пропускания,
VW> например GUI.
EBB>> Принципиальное различие в том, что у Кербероса модель
EBB>> централизованная, а у ssh - нет. Если Петя хочет дать
VW> Вот-вот. Централизованные модели аутентификации для доступа
VW> - must die.
`Скажет -- как отрежет'. Всем хором петь `хором петь --
хорошо, ходить строем -- плохо'? ;)
VW> Централизованная модель аутентификации имеет смысл в случае
VW> электронной подписи, ежели нам нужно эту подпись потом в
VW> суде отстаивать. Тогда да, при существующей системе
VW> юриспруденции удобнее иметь государственный УЦ, который со
VW> всей своей государственной ответственностью подтвердит в
VW> суде, что да, этот сертификат выдан Васе Пупкину.
VW> А когда речь идет о доступе к сервису, централизованная
VW> модель означает корпоративное рабство. Что человек не может
VW> одновременно участововать в таком количестве видов
VW> деятельности (и социальных структур с ними связанных) в
VW> каком хочет.
File system permission checks рабством ещё не кажутся?
Срочно жалобу в ЮHЕСКО: караул, сатрапы сервис редактирования
partition table зажилили.
Централизованная модель означает корпоративное (а каждый
админ -- это своего рода корпорация) удобство. Hа то и
авторизация выдумана, чтобы хотения мало было. SSH -- это такая
carte blanche: естественно, удобно думать, что полный или почти
полный доступ -- это круто, ещё бы, всё можно делать. :) Hичего
больше и не надо, если каждый -- сам себе ум, честь, совесть и
контролёр. То есть в личном хозяйстве или, может быть,
образцово-коммунальном.
В остальных доверять быстро надоедает, начинаешь проверять.
--
/Awesome Walrus <walrus@amur.ru>
...Сказал я: Послушай, мне завтра на службу, а ты мне мешаешь спать...
--- tin/1.7.8-20050315 ("Scalpay") (UNIX) (Linux/2.6.17-2-k7 (i686))
* Origin: AVATAR, тощий молодой лапландец (2:5042/7@fidonet.org)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: Single sign on |
Dennis Vshivkov |
23 Jan 2007 00:05:29 |
|
|
