[Uneex] Kerberos
Vladimir Ivanov
uneex@cs.msu.su
Mon, 8 Oct 2001 20:12:53 +0400 (MSD)
>> В СУНЦ в самом деле стоит (стояла?) собака бешеная, но уже после того,
>> как я оттуда ушел. Попробую зазвать сюда человека, который ее ставил -
>> Костю Стефанова.
> Угумс. А давайте-ка семинар этому посвятим. Вот только от него
>надо стенограмму сделать, или что-то подобное -- Володя-то за bugr-ом...
Da. Bylo by klassno.
Tema a celom stoit neskol'ko shire:
kak organizovat' Unix-based corporative network.
kak ni stranno, nichego, priemlemogo s tochki zreniya security v tut ya ne znau.
To est' est' NIS, i automounter, kotoruy umeet k nemu obrashat'sya.
Est' NFS, kotoruju i montiruet automounter, naprimer home directories
(so called inderect maps) ili k primeru /usr/local (chto ideologocheski
nepravil'no kstati,
no da shut s nim - eto direct maps).
Takim obrazom mozhno postroit' udobnuju i prozrachnuju (s tochki zreniya seti)
sredu,
no... ne vyderzhivaushuu nikakoj kritiki po povodu security. Tut ya dazhe
rasprostranyat'sya ne budu, potomu chto inache zaplachu. :(.
Kogda SUN eto nadoelo, oni pridumali NIS+ na osnove SecureRPC. Posle chego eto
popalo v tak nazyvaemyj "Open Network Computing" package (tuda zhe, kuda popali
CDE, Motif,ToolTalk i mogo
chego eshe). V rezul'tate vse kommercheskie Unix'y, kotorye v svoe vremya
licenzirovali ONC
(a ih nemalo - vo vsyakom sluchae Solaris, HP-UX i AIX tochno - eto pokryvaet
IMHO 90% rynka
kommercheskih UNIX, na sche SCO ya ne uveren, no dumau, chto tam NIS+ tozhe
est'). SecureRPC
neskol'ko lucshe v plane security, no zato administrit' NIS+ kuda slozhnee.
Govoryat, dazhe v SUN
ludi pol'zuutsya NIS a ne NIS+.
Koroche, ne znau pochemu, NIS+ ne osobenno prizhilsya. Hotya na @cs.msu.su
zhivet.
Da! Est' klientskaya realizaciya dlya Linux. na schet xBSD - ne vkurse, uvy.
iznachal'no NIS(+) v tom chisle pozvolyali sinhronizovat' passwords pomimo
vsego ostal'nogo.
Eto pozvolyalo imet' edinuu bazu autentifikacii.
Teper' v epohu java, XML, i prochego, SUN (ya tut govoru o nih, potomu chto
sejchas bol'she vsego
rabotau s Solaris) taki reshila sdelat' normal'nuj directory service dlya
Solaris.
Eto LDAP. Krome togo, SUN vzyala Kerberos, nazvala ego SEAM (SUN Enterprise
Authentification Manager), prikrutila k nemu eshe koe-kakie vkusnosti (tipa
"Kerberized NFS") i stala razdavat' s Solaris (bezdvozdmezdno to est' darom).
Vse by horosho, no problema s automounter ostalas'.
T.e. vse eshe nuzhno directory service (prichem "Kerberized"), kotoryj kak
minimum imel by frontend dlya NIS maps v automounter.
SUN bezdvozdmezdno (to est' darom) razdaet iPlanet Directory Server. S
licenziej na otnositel'no nebol'shoe (no skazhem dlya faculteta VMK IMHO
dolzhno hvatit' :) ) chislo ob'ektov. Etot directory server imeet NIS
frontend. NO. ne Kerberized ni razu. hotya v Solaris 9 (kotoryj uzhe v EA),
vrode budet.
Teper' vernemsya k Kerberos.
On pozvolyaet sozdat' otnositel'no prozrachnyj "framework" dlya postroeniya
edinoj sredy athentifikacii. pri primenenii Kerberos passwords ne hodyat po
seti v plain-text. pri nadlezhashej nastroike on pozvolyaet dobit'sya SSO
(Single Sign-On). on poet, tanzuet i zavarivaet kofe. on pozvolyaet delat'
"cross-realm auth", to est' mashiny iz setey s raznym administryrovaniem mogut
authentificirovat'sya drug k drugu. on dazhe pozvolyaet ustanovit' "otnosheniya
doveriya" mezhno Unix network i Windoze 2k (chto ochen' polezno v Enterprize
environment i chego ya ni v zhizn' ne sdelau).
Suchestvuet GSSRPC_API (Generic Security Service RPC API), kootroje pozvolyaet
unificirovat' autentifikaciu vne zavisimosti ot framework, v tom chisle i
Kerberos. eto kstati _ne_ propiertary API.
no ni v linux ni v (AFAIK) Free/OpenBSD ego nikto ne realizoval.
no. ni NIS ni NIS(+) ni LDAP (po krajnej mere v variantah ot iPlanet i PADL) ne
Kerberized.
i oni ne napisany na GSSPRC_API.
Koroche, vopros postroeniya "pravil'noy" unix seti stoit ostro, kak v
commercial unix (blago ih nemnogo ostalos') tak i v free.
Vot takoe nebol'shoe vvedenie. tipa zatravka.
Esli vdrug sluchitsya "zhivoj" seminar, zapishite na diktofon chto li :)
Vladimir Ivanov