|
ru.unix
- RU.UNIX ----------------------------------------------------------------------
From : Eugene B. Berdnikov 2:5020/400 21 Jan 2007 18:08:10
To : Victor Wagner
Subject : Re: Single sign on
--------------------------------------------------------------------------------
Victor Wagner <vitus@45.free.net> wrote:
VW> Вот с какого перепуга я буду пускать на свой ноутбук кого-то, кому выдал
VW> тикет конторский Керберос-сервер?
А разве это требуется? AFAIR, нет - в тикете по крайней мере идентификатор
сервиса есть, а общие сервисы могут иметь id'ы, отличные от персональных.
Другое дело - керберос ориентирован именно на групповуху.
VW> У Кербероса есть такой недостаток, что он обеспечивает single sign on
VW> только внутри одной конторы. Вернее, внутри группы компьютеров,
VW> находящихся под единым административным контролем.
...
VW> А ssh обеспечивает sigle sign on для всех компьютеров, к которым есть
VW> право доступа у данного юзера. Hезависимо от того, кто их администрирует.
SSH обеспечивает лишь для тех сервисов, которые умеют ходить под ssh.
А керберос - для всех зомбированных... простите, керберизованных. :)
В числе которых может быть rsh-kerb, что формально сводит задачу к ssh.
Hо.
Принципиальное различие в том, что у Кербероса модель централизованная,
а у ssh - нет. Если Петя хочет дать доступ Васе по ssh, то просто
прописывает у себя его ключ, а в случае кербероса - появляется ещё одна
сторона "admin KDC", который должен одобрить, дать доступ к Васе к KDC,
обеспечить доступность KDC через файрвол. А когда Петя таки пойдёт к
Васе, может случиться так, что у Васи будет роутинг к хосту Пети, но
не будет - к хосту с KDC, и друзья будут горько плакать...
Кажется, мы обсуждали здесь все эти тонкости лет 10 назад... :)
--
Eugene Berdnikov
--- ifmail v.2.15dev5.3
* Origin: Institute for High Energy Physics, Protvino, Russia (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: Single sign on 
