[Uneex] Семинар 12 ноября буд ет [ivlad@beep.ru: Kerberos]

Fr. Br. George uneex@cs.msu.su
Tue, 6 Nov 2001 01:55:41 +0300


--nVMJ2NtxeReIH9PS
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit

	$Subj. Вне зависимости от готовности (и существования;) докладчика.
	
	Еще раз пересылаю Володино письмо. Там довольно много написано
интересного. Попробуем к понедельнику параллельно с обещанным Костей
посмотреть? 

	[2 eagle] Зовем таки наконец Костю? И, наверное, перешли ему сие.
		Если намечаются обломы, ответь поскорее. 
	
	[2 all] 
		Люди! Кому не в лом деволяпюцировать Володин текст?

		И еще. _Пожалуйста_, принесите кто-нибудь диктофон и
		пару кассет на семинар. У кого есть?
	
-- 
			George V Kouryachy (aka Fr. Br. George)

--nVMJ2NtxeReIH9PS
Content-Type: message/rfc822
Content-Disposition: inline
Content-Transfer-Encoding: 8bit

Return-Path: <uneex-admin@imap.cs.msu.su>
Received: from imap.cs.msu.su (imap.cs.msu.su [158.250.10.15])
	by azog.po.cs.msu.su (8.9.3/8.9.3) with ESMTP id UAA27367
	for <george@po.cs.msu.su>; Mon, 8 Oct 2001 20:14:25 +0400 (MSD)
	(envelope-from uneex-admin@imap.cs.msu.su)
Received: from imap.cs.msu.su (localhost [127.0.0.1])
	by imap.cs.msu.su (8.11.3/8.11.3) with ESMTP id f98GN3530257;
	Mon, 8 Oct 2001 20:23:03 +0400 (MSD)
	(envelope-from uneex-admin@imap.cs.msu.su)
Received: from beep.ru (www.beep.ru [212.188.13.192])
	by imap.cs.msu.su (8.11.3/8.11.3) with SMTP id f98GM5530231
	for <uneex@cs.msu.su>; Mon, 8 Oct 2001 20:22:05 +0400 (MSD)
	(envelope-from ivlad@beep.ru)
From: Vladimir Ivanov <ivlad@beep.ru>
To: uneex@cs.msu.su
Cc: 
Subject: Re: Re: [Uneex] Kerberos
Message-Id: <3BC1D085.AA00434@beep.ru>
Content-Type: text/plain; charset=koi8-r
MIME-Version: 1.0
Sender: uneex-admin@imap.cs.msu.su
Errors-To: uneex-admin@imap.cs.msu.su
X-BeenThere: uneex@imap.cs.msu.su
X-Mailman-Version: 2.0.1
Precedence: bulk
Reply-To: uneex@cs.msu.su
List-Help: <mailto:uneex-request@imap.cs.msu.su?subject=help>
List-Post: <mailto:uneex@imap.cs.msu.su>
List-Subscribe: <https://imap.cs.msu.su/mailman/listinfo/uneex>,
	<mailto:uneex-request@imap.cs.msu.su?subject=subscribe>
List-Id: UNИX семинар <uneex.imap.cs.msu.su>
List-Unsubscribe: <https://imap.cs.msu.su/mailman/listinfo/uneex>,
	<mailto:uneex-request@imap.cs.msu.su?subject=unsubscribe>
List-Archive: <https://imap.cs.msu.su/pipermail/uneex/>
Date: Mon, 8 Oct 2001 20:12:53 +0400 (MSD)
X-Keywords:                 
X-UID: 195

>> В СУНЦ в самом деле стоит (стояла?) собака бешеная, но уже после того,
>> как я оттуда ушел. Попробую зазвать сюда человека, который ее ставил -
>> Костю Стефанова.
>	Угумс. А давайте-ка семинар этому посвятим. Вот только от него
>надо стенограмму сделать, или что-то подобное -- Володя-то за bugr-ом...

Da. Bylo by klassno.

Tema a celom stoit neskol'ko shire:
kak organizovat' Unix-based corporative network.

kak ni stranno, nichego, priemlemogo s tochki zreniya security v tut ya ne znau.

To est' est' NIS, i automounter, kotoruy umeet k nemu obrashat'sya.
Est' NFS, kotoruju i montiruet automounter, naprimer home directories 
(so called inderect maps) ili k primeru /usr/local (chto ideologocheski 
nepravil'no kstati,
no da shut s nim - eto direct maps).

Takim obrazom mozhno postroit' udobnuju i prozrachnuju (s tochki zreniya seti) 
sredu,
no... ne vyderzhivaushuu nikakoj kritiki po povodu security. Tut ya dazhe 
rasprostranyat'sya ne budu, potomu chto inache zaplachu. :(.

Kogda SUN eto nadoelo, oni pridumali NIS+ na osnove SecureRPC. Posle chego eto 
popalo v tak nazyvaemyj "Open Network Computing" package (tuda zhe, kuda popali 
CDE, Motif,ToolTalk i mogo
chego eshe). V rezul'tate vse kommercheskie Unix'y, kotorye v svoe vremya 
licenzirovali ONC 
(a ih nemalo - vo vsyakom sluchae Solaris, HP-UX i AIX tochno - eto pokryvaet 
IMHO 90% rynka
kommercheskih UNIX, na sche SCO ya ne uveren, no dumau, chto tam NIS+ tozhe 
est'). SecureRPC
neskol'ko lucshe v plane security, no zato administrit' NIS+ kuda slozhnee. 
Govoryat, dazhe v SUN
ludi pol'zuutsya NIS a ne NIS+.

Koroche, ne znau pochemu, NIS+ ne osobenno prizhilsya. Hotya na @cs.msu.su 
zhivet.

Da! Est' klientskaya realizaciya dlya Linux. na schet xBSD - ne vkurse, uvy.

iznachal'no NIS(+) v tom chisle pozvolyali sinhronizovat' passwords pomimo 
vsego ostal'nogo.
Eto pozvolyalo imet' edinuu bazu autentifikacii.

Teper' v epohu java, XML, i prochego, SUN (ya tut govoru o nih, potomu chto 
sejchas bol'she vsego
rabotau s Solaris) taki reshila sdelat' normal'nuj directory service dlya 
Solaris. 

Eto LDAP. Krome togo, SUN vzyala Kerberos, nazvala ego SEAM (SUN Enterprise 
Authentification Manager), prikrutila k nemu eshe koe-kakie vkusnosti (tipa 
"Kerberized NFS") i stala razdavat' s Solaris (bezdvozdmezdno to est' darom). 
Vse by horosho, no problema s automounter ostalas'.
T.e. vse eshe nuzhno directory service (prichem "Kerberized"), kotoryj kak 
minimum imel by frontend dlya NIS maps v automounter. 

SUN bezdvozdmezdno (to est' darom) razdaet iPlanet Directory Server. S 
licenziej na otnositel'no nebol'shoe (no skazhem dlya faculteta VMK IMHO 
dolzhno hvatit' :) ) chislo ob'ektov.  Etot directory server imeet NIS 
frontend. NO. ne Kerberized ni razu. hotya v Solaris 9 (kotoryj uzhe v EA), 
vrode budet.

Teper' vernemsya k Kerberos.
On pozvolyaet sozdat' otnositel'no prozrachnyj "framework" dlya postroeniya 
edinoj sredy athentifikacii. pri primenenii Kerberos passwords ne hodyat po 
seti v plain-text. pri nadlezhashej nastroike on pozvolyaet dobit'sya SSO 
(Single Sign-On). on poet, tanzuet i zavarivaet kofe. on pozvolyaet delat' 
"cross-realm auth", to est' mashiny iz setey s raznym administryrovaniem mogut 
authentificirovat'sya drug k drugu. on dazhe pozvolyaet ustanovit' "otnosheniya 
doveriya" mezhno Unix network i  Windoze 2k (chto ochen' polezno v Enterprize 
environment i chego ya ni v zhizn' ne sdelau). 

Suchestvuet GSSRPC_API (Generic Security Service RPC API), kootroje pozvolyaet 
unificirovat' autentifikaciu vne zavisimosti ot framework, v tom chisle i 
Kerberos. eto kstati _ne_ propiertary API.
no ni v linux ni v (AFAIK) Free/OpenBSD ego nikto ne realizoval.

no. ni NIS ni NIS(+) ni LDAP (po krajnej mere v variantah ot iPlanet i PADL) ne 
Kerberized.
i oni ne napisany na GSSPRC_API.


Koroche, vopros postroeniya "pravil'noy" unix seti stoit ostro, kak v 
commercial unix (blago ih nemnogo ostalos') tak i v free.

Vot takoe nebol'shoe vvedenie. tipa zatravka.
Esli vdrug sluchitsya "zhivoj" seminar, zapishite na diktofon chto li :) 

Vladimir Ivanov

_______________________________________________
Uneex mailing list
Uneex@imap.cs.msu.su
https://imap.cs.msu.su/mailman/listinfo/uneex

--nVMJ2NtxeReIH9PS--