|
ru.unix
- RU.UNIX ----------------------------------------------------------------------
From : Nick A. Leuta 2:5020/400 23 Jun 2000 17:29:00
To : All
Subject : Hа: Hа: Hа: Hа: Hа: Hа: Hа: Hа: Hа: uucpd and PAM
--------------------------------------------------------------------------------
"Vladimir Kravchenko" <jimson@voron.elektra.ru> сообщил/сообщила в новостях
следующее:
> >>>>> Nick A Leuta (NAL) :
> >> вдруг дать ей это умение одним приказом в nsswitch.conf? Рожденный
> >> ползать получил приказ летать?
> NAL> Так, кажется, Вы так и не поняли суть... А она в том, кроме nss,
> NAL> другие компоненты glibc не знают источника - ldap ли это, nis или
> NAL> что-то еще. В этом-то и все фишка...
[skiped]
> во-вторых, вы все напрочь забыли подумать что же такое нормальная система
> аутентикации. вы предлагаете и дальше ориентироваться на схему сверки
паролей ?
Так, кажется, вы чего-то недопоняли... PAM есть механизм, в котором
локализована задача аутентификации, что позволяет применять _любую_
аутентификационную схему, не модифицируя сами приложения либо какие-либо
системные библиотеки.
> а я вот предлагаю ориентироваться, например, на схему билетов (kerberos)
или
> CA,
Да распожалуста... Hайти или написать pam_kerberos или pam_CA и вперед...
> как только мы уходим от паролей все эти фенечки типа pam и nss
> рассыпаются в пух и прах.
Угу... Retinal scanner оказывается сканирует пароль...
> применение же LDAP (в чистом виде) к вопросу о схеме аутентикации
> вобще смешно, LDAP это справочник, с таким же успехом можно разговаривать
Угу, NDS или Active Directory тоже справочники...
> об аутентикации через SQL (что с успехом и пользуется большиством
> билинговых систем), но повторяю - это уже костыль, сверка паролей, в
лучшем
> случае в базе лежат хеши.
Hу, пусть будет nss_sql для разборки соответствия login<->uid и pam_sql для
аутентификации... Хотя, если аутентифицировать только по паролям или их
хешам, то можно обойтись и одним nss без pam'a...
> единственно применение NSS это разшаривание и централизованное управление
> файлами passwd, замена NIS+, кстати еще вопрос если ли какие то особенные
Расшаривание файлов passwd la-la-la - это исконная идеология NIS, насколько
я помню...
> приимущества у NSS по сравнению с NIS+
Как бы это сказать... Через nss можно использовать не только NIS...
> P.S. к вопросу о PAM, очередная поделка, если уже разговаривать об API, то
> я предлагаю вспомнить SASL, оно по крайней мере позволяет
> аутентифицироваться как угодно и через что угодно предоставляя
> криптованное сосединение если это поддерживается схемой аутентикации, а
пам построен на
LDAP можно гнать через SSL, Radius или Kerberos для аутентификации и
предназначены...
> том принципе что ему передают пароль, и ничего кроме пароля.
PAM'у передают пинок "начинай аутентифицировать", а уж про пароль он спросит
сам, если захочет, конечно... А может и не захотеть, и попросить
карточку-мандат в сканнер вставить...
Кроме того, SASL согласно мануалу, method for adding authentication support
to connection-based protocols, и как я понял из rfc, он отвечает за
безопасность доставки до сервера пароля или чего еще надо стоящей на сервере
системе аутентификации, s/key или kerberos там... Так что они с pam'ом вроде
как не пересекаются...
===================
* Linux... Хотели-то как лучше, а получился опять Windows...
SkyNick
--- ifmail v.2.15dev5
* Origin: Lipetsk State Technical University (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
