|
ru.unix
- RU.UNIX ----------------------------------------------------------------------
From : Vladimir Kravchenko 2:5020/400 23 Jun 2000 19:15:03
To : "Nick A. Leuta"
Subject : Re: Hа: Hа: Hа: Hа: Hа: Hа: Hа: Hа: Hа: uucpd and PAM
--------------------------------------------------------------------------------
>>>>> Nick A Leuta (NAL) :
>> система аутентикации. вы предлагаете и дальше ориентироваться на схему
>> сверки
NAL> паролей ? Так, кажется, вы чего-то недопоняли... PAM есть механизм,
NAL> в котором локализована задача аутентификации, что позволяет применять
NAL> _любую_ аутентификационную схему, не модифицируя сами приложения либо
NAL> какие-либо системные библиотеки.
я как раз все правильно понял :) и пам не решает задачу аутентикации
(задачу решают системы и механизмы аутентикации), пам это API и не более
того
>> CA,
NAL> Да распожалуста... Hайти или написать pam_kerberos или pam_CA и
NAL> вперед...
ага, я бы хотел посмотреть на pam_kerberos который реализует kerberos
аутентикацию (hint! сверка пароля методом разкриптовки tgt полученного на
имя пользователя со стороны сервера и на основании успешной разкриптовки
принятие решения о правильности или не правильности пароля это _не_
kerberos аутентикация)
поясняю на счет kerberos
1) аутентикация пассивная, если так можно выразится, основывается на том
что если клиент чесный он знает сессионный ключ на открываемую сессию
2) аутентикация двухсторонняя, т.е. клиент полагает что если сервер именно
то куда он хочет зайти, то он (сервер) знает сессионный ключ
3) сессия криптуется, сессионный ключ меняется в течении сессии
PAM и NSS это так сказать одноразовые механизмы, выполнил функцию, если
return 1 пляшем, если return 0 посылаем, через такой механизм ты никогда не
реализуешь рассмотренную выше систему аутентикации, можно лишь проверить
как то по паролю, не важно как, я не спорю что PAM можно попросить сбегать
за "эталоном" (например, хешем) в соседний бакалейный магазин, но kerberos
authentication через него не сделаешь никогда, как собственно и через NSS
>> применение же LDAP (в чистом виде) к вопросу о схеме аутентикации вобще
>> смешно, LDAP это справочник, с таким же успехом можно разговаривать
NAL> Угу, NDS или Active Directory тоже справочники...
ну и что с того ?
NAL> pam_sql для аутентификации... Хотя, если аутентифицировать только по
NAL> паролям или их хешам, то можно обойтись и одним nss без pam'a...
кто спорит, я и говорю что PAM и NSS позволяют проводить аутентикацию по
паролю, ну плюс еще фичи которыен к аутентикации отношения не имеют
NAL> Расшаривание файлов passwd la-la-la - это исконная идеология NIS,
NAL> насколько я помню...
и nss, только подход намного более гибкий
>> криптованное сосединение если это поддерживается схемой аутентикации, а
NAL> пам построен на LDAP можно гнать через SSL, Radius или Kerberos для
NAL> аутентификации и предназначены...
я ничего не понял, где тут запятые должны быть ? :)
>> том принципе что ему передают пароль, и ничего кроме пароля.
NAL> PAM'у передают пинок "начинай аутентифицировать", а уж про пароль он
NAL> спросит сам, если захочет, конечно... А может и не захотеть, и
NAL> попросить карточку-мандат в сканнер вставить...
во-во, он считает карточку, потом возьмет эталон и сверит что получилось, в
результате "вернет 0 или 1"
в чем существенна разница между сверкой по паролю ? если не считать что
"втавить карточку" это попросить ввести пароль, а сверить с эталоном это
сделать из введенного пароля хеш и сравнить с master.passwd
NAL> Кроме того, SASL согласно мануалу, method for adding authentication
NAL> support to connection-based protocols, и как я понял из rfc, он
NAL> отвечает за безопасность доставки до сервера пароля или чего еще надо
NAL> стоящей на сервере системе аутентификации, s/key или kerberos
NAL> там... Так что они с pam'ом вроде как не пересекаются...
все ты не правильно понял
что ты подразумеваешь под "отвечать за безопасность доставки до сервера
пароля" ? SASL может и без пароля, в часности через SASL можно сервер
"обучить" чесному kerberos (v4 or gssapi_v2). SASL это тоже API.
Hе хочу гнать пургу про тонкости реализации SASL, я знаю как оно работает и
для чего оно надо, если хочется разобраться в отличиях реализации PAM и
SASL то можно глянуть на исходники, оно фришное
- --- Jimson
--- ifmail v.2.15dev5
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
