[Uneex] Семинар 12 ноября буд
ет [ivlad@beep.ru: Kerberos]
Fr. Br. George
uneex@cs.msu.su
Tue, 6 Nov 2001 01:55:41 +0300
--nVMJ2NtxeReIH9PS
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
$Subj. Вне зависимости от готовности (и существования;) докладчика.
Еще раз пересылаю Володино письмо. Там довольно много написано
интересного. Попробуем к понедельнику параллельно с обещанным Костей
посмотреть?
[2 eagle] Зовем таки наконец Костю? И, наверное, перешли ему сие.
Если намечаются обломы, ответь поскорее.
[2 all]
Люди! Кому не в лом деволяпюцировать Володин текст?
И еще. _Пожалуйста_, принесите кто-нибудь диктофон и
пару кассет на семинар. У кого есть?
--
George V Kouryachy (aka Fr. Br. George)
--nVMJ2NtxeReIH9PS
Content-Type: message/rfc822
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
Return-Path: <uneex-admin@imap.cs.msu.su>
Received: from imap.cs.msu.su (imap.cs.msu.su [158.250.10.15])
by azog.po.cs.msu.su (8.9.3/8.9.3) with ESMTP id UAA27367
for <george@po.cs.msu.su>; Mon, 8 Oct 2001 20:14:25 +0400 (MSD)
(envelope-from uneex-admin@imap.cs.msu.su)
Received: from imap.cs.msu.su (localhost [127.0.0.1])
by imap.cs.msu.su (8.11.3/8.11.3) with ESMTP id f98GN3530257;
Mon, 8 Oct 2001 20:23:03 +0400 (MSD)
(envelope-from uneex-admin@imap.cs.msu.su)
Received: from beep.ru (www.beep.ru [212.188.13.192])
by imap.cs.msu.su (8.11.3/8.11.3) with SMTP id f98GM5530231
for <uneex@cs.msu.su>; Mon, 8 Oct 2001 20:22:05 +0400 (MSD)
(envelope-from ivlad@beep.ru)
From: Vladimir Ivanov <ivlad@beep.ru>
To: uneex@cs.msu.su
Cc:
Subject: Re: Re: [Uneex] Kerberos
Message-Id: <3BC1D085.AA00434@beep.ru>
Content-Type: text/plain; charset=koi8-r
MIME-Version: 1.0
Sender: uneex-admin@imap.cs.msu.su
Errors-To: uneex-admin@imap.cs.msu.su
X-BeenThere: uneex@imap.cs.msu.su
X-Mailman-Version: 2.0.1
Precedence: bulk
Reply-To: uneex@cs.msu.su
List-Help: <mailto:uneex-request@imap.cs.msu.su?subject=help>
List-Post: <mailto:uneex@imap.cs.msu.su>
List-Subscribe: <https://imap.cs.msu.su/mailman/listinfo/uneex>,
<mailto:uneex-request@imap.cs.msu.su?subject=subscribe>
List-Id: UNИX семинар <uneex.imap.cs.msu.su>
List-Unsubscribe: <https://imap.cs.msu.su/mailman/listinfo/uneex>,
<mailto:uneex-request@imap.cs.msu.su?subject=unsubscribe>
List-Archive: <https://imap.cs.msu.su/pipermail/uneex/>
Date: Mon, 8 Oct 2001 20:12:53 +0400 (MSD)
X-Keywords:
X-UID: 195
>> В СУНЦ в самом деле стоит (стояла?) собака бешеная, но уже после того,
>> как я оттуда ушел. Попробую зазвать сюда человека, который ее ставил -
>> Костю Стефанова.
> Угумс. А давайте-ка семинар этому посвятим. Вот только от него
>надо стенограмму сделать, или что-то подобное -- Володя-то за bugr-ом...
Da. Bylo by klassno.
Tema a celom stoit neskol'ko shire:
kak organizovat' Unix-based corporative network.
kak ni stranno, nichego, priemlemogo s tochki zreniya security v tut ya ne znau.
To est' est' NIS, i automounter, kotoruy umeet k nemu obrashat'sya.
Est' NFS, kotoruju i montiruet automounter, naprimer home directories
(so called inderect maps) ili k primeru /usr/local (chto ideologocheski
nepravil'no kstati,
no da shut s nim - eto direct maps).
Takim obrazom mozhno postroit' udobnuju i prozrachnuju (s tochki zreniya seti)
sredu,
no... ne vyderzhivaushuu nikakoj kritiki po povodu security. Tut ya dazhe
rasprostranyat'sya ne budu, potomu chto inache zaplachu. :(.
Kogda SUN eto nadoelo, oni pridumali NIS+ na osnove SecureRPC. Posle chego eto
popalo v tak nazyvaemyj "Open Network Computing" package (tuda zhe, kuda popali
CDE, Motif,ToolTalk i mogo
chego eshe). V rezul'tate vse kommercheskie Unix'y, kotorye v svoe vremya
licenzirovali ONC
(a ih nemalo - vo vsyakom sluchae Solaris, HP-UX i AIX tochno - eto pokryvaet
IMHO 90% rynka
kommercheskih UNIX, na sche SCO ya ne uveren, no dumau, chto tam NIS+ tozhe
est'). SecureRPC
neskol'ko lucshe v plane security, no zato administrit' NIS+ kuda slozhnee.
Govoryat, dazhe v SUN
ludi pol'zuutsya NIS a ne NIS+.
Koroche, ne znau pochemu, NIS+ ne osobenno prizhilsya. Hotya na @cs.msu.su
zhivet.
Da! Est' klientskaya realizaciya dlya Linux. na schet xBSD - ne vkurse, uvy.
iznachal'no NIS(+) v tom chisle pozvolyali sinhronizovat' passwords pomimo
vsego ostal'nogo.
Eto pozvolyalo imet' edinuu bazu autentifikacii.
Teper' v epohu java, XML, i prochego, SUN (ya tut govoru o nih, potomu chto
sejchas bol'she vsego
rabotau s Solaris) taki reshila sdelat' normal'nuj directory service dlya
Solaris.
Eto LDAP. Krome togo, SUN vzyala Kerberos, nazvala ego SEAM (SUN Enterprise
Authentification Manager), prikrutila k nemu eshe koe-kakie vkusnosti (tipa
"Kerberized NFS") i stala razdavat' s Solaris (bezdvozdmezdno to est' darom).
Vse by horosho, no problema s automounter ostalas'.
T.e. vse eshe nuzhno directory service (prichem "Kerberized"), kotoryj kak
minimum imel by frontend dlya NIS maps v automounter.
SUN bezdvozdmezdno (to est' darom) razdaet iPlanet Directory Server. S
licenziej na otnositel'no nebol'shoe (no skazhem dlya faculteta VMK IMHO
dolzhno hvatit' :) ) chislo ob'ektov. Etot directory server imeet NIS
frontend. NO. ne Kerberized ni razu. hotya v Solaris 9 (kotoryj uzhe v EA),
vrode budet.
Teper' vernemsya k Kerberos.
On pozvolyaet sozdat' otnositel'no prozrachnyj "framework" dlya postroeniya
edinoj sredy athentifikacii. pri primenenii Kerberos passwords ne hodyat po
seti v plain-text. pri nadlezhashej nastroike on pozvolyaet dobit'sya SSO
(Single Sign-On). on poet, tanzuet i zavarivaet kofe. on pozvolyaet delat'
"cross-realm auth", to est' mashiny iz setey s raznym administryrovaniem mogut
authentificirovat'sya drug k drugu. on dazhe pozvolyaet ustanovit' "otnosheniya
doveriya" mezhno Unix network i Windoze 2k (chto ochen' polezno v Enterprize
environment i chego ya ni v zhizn' ne sdelau).
Suchestvuet GSSRPC_API (Generic Security Service RPC API), kootroje pozvolyaet
unificirovat' autentifikaciu vne zavisimosti ot framework, v tom chisle i
Kerberos. eto kstati _ne_ propiertary API.
no ni v linux ni v (AFAIK) Free/OpenBSD ego nikto ne realizoval.
no. ni NIS ni NIS(+) ni LDAP (po krajnej mere v variantah ot iPlanet i PADL) ne
Kerberized.
i oni ne napisany na GSSPRC_API.
Koroche, vopros postroeniya "pravil'noy" unix seti stoit ostro, kak v
commercial unix (blago ih nemnogo ostalos') tak i v free.
Vot takoe nebol'shoe vvedenie. tipa zatravka.
Esli vdrug sluchitsya "zhivoj" seminar, zapishite na diktofon chto li :)
Vladimir Ivanov
_______________________________________________
Uneex mailing list
Uneex@imap.cs.msu.su
https://imap.cs.msu.su/mailman/listinfo/uneex
--nVMJ2NtxeReIH9PS--