[Uneex] Kerberos

Vladimir Ivanov uneex@cs.msu.su
Mon, 8 Oct 2001 20:12:53 +0400 (MSD)


>> В СУНЦ в самом деле стоит (стояла?) собака бешеная, но уже после того,
>> как я оттуда ушел. Попробую зазвать сюда человека, который ее ставил -
>> Костю Стефанова.
>	Угумс. А давайте-ка семинар этому посвятим. Вот только от него
>надо стенограмму сделать, или что-то подобное -- Володя-то за bugr-ом...

Da. Bylo by klassno.

Tema a celom stoit neskol'ko shire:
kak organizovat' Unix-based corporative network.

kak ni stranno, nichego, priemlemogo s tochki zreniya security v tut ya ne znau.

To est' est' NIS, i automounter, kotoruy umeet k nemu obrashat'sya.
Est' NFS, kotoruju i montiruet automounter, naprimer home directories 
(so called inderect maps) ili k primeru /usr/local (chto ideologocheski 
nepravil'no kstati,
no da shut s nim - eto direct maps).

Takim obrazom mozhno postroit' udobnuju i prozrachnuju (s tochki zreniya seti) 
sredu,
no... ne vyderzhivaushuu nikakoj kritiki po povodu security. Tut ya dazhe 
rasprostranyat'sya ne budu, potomu chto inache zaplachu. :(.

Kogda SUN eto nadoelo, oni pridumali NIS+ na osnove SecureRPC. Posle chego eto 
popalo v tak nazyvaemyj "Open Network Computing" package (tuda zhe, kuda popali 
CDE, Motif,ToolTalk i mogo
chego eshe). V rezul'tate vse kommercheskie Unix'y, kotorye v svoe vremya 
licenzirovali ONC 
(a ih nemalo - vo vsyakom sluchae Solaris, HP-UX i AIX tochno - eto pokryvaet 
IMHO 90% rynka
kommercheskih UNIX, na sche SCO ya ne uveren, no dumau, chto tam NIS+ tozhe 
est'). SecureRPC
neskol'ko lucshe v plane security, no zato administrit' NIS+ kuda slozhnee. 
Govoryat, dazhe v SUN
ludi pol'zuutsya NIS a ne NIS+.

Koroche, ne znau pochemu, NIS+ ne osobenno prizhilsya. Hotya na @cs.msu.su 
zhivet.

Da! Est' klientskaya realizaciya dlya Linux. na schet xBSD - ne vkurse, uvy.

iznachal'no NIS(+) v tom chisle pozvolyali sinhronizovat' passwords pomimo 
vsego ostal'nogo.
Eto pozvolyalo imet' edinuu bazu autentifikacii.

Teper' v epohu java, XML, i prochego, SUN (ya tut govoru o nih, potomu chto 
sejchas bol'she vsego
rabotau s Solaris) taki reshila sdelat' normal'nuj directory service dlya 
Solaris. 

Eto LDAP. Krome togo, SUN vzyala Kerberos, nazvala ego SEAM (SUN Enterprise 
Authentification Manager), prikrutila k nemu eshe koe-kakie vkusnosti (tipa 
"Kerberized NFS") i stala razdavat' s Solaris (bezdvozdmezdno to est' darom). 
Vse by horosho, no problema s automounter ostalas'.
T.e. vse eshe nuzhno directory service (prichem "Kerberized"), kotoryj kak 
minimum imel by frontend dlya NIS maps v automounter. 

SUN bezdvozdmezdno (to est' darom) razdaet iPlanet Directory Server. S 
licenziej na otnositel'no nebol'shoe (no skazhem dlya faculteta VMK IMHO 
dolzhno hvatit' :) ) chislo ob'ektov.  Etot directory server imeet NIS 
frontend. NO. ne Kerberized ni razu. hotya v Solaris 9 (kotoryj uzhe v EA), 
vrode budet.

Teper' vernemsya k Kerberos.
On pozvolyaet sozdat' otnositel'no prozrachnyj "framework" dlya postroeniya 
edinoj sredy athentifikacii. pri primenenii Kerberos passwords ne hodyat po 
seti v plain-text. pri nadlezhashej nastroike on pozvolyaet dobit'sya SSO 
(Single Sign-On). on poet, tanzuet i zavarivaet kofe. on pozvolyaet delat' 
"cross-realm auth", to est' mashiny iz setey s raznym administryrovaniem mogut 
authentificirovat'sya drug k drugu. on dazhe pozvolyaet ustanovit' "otnosheniya 
doveriya" mezhno Unix network i  Windoze 2k (chto ochen' polezno v Enterprize 
environment i chego ya ni v zhizn' ne sdelau). 

Suchestvuet GSSRPC_API (Generic Security Service RPC API), kootroje pozvolyaet 
unificirovat' autentifikaciu vne zavisimosti ot framework, v tom chisle i 
Kerberos. eto kstati _ne_ propiertary API.
no ni v linux ni v (AFAIK) Free/OpenBSD ego nikto ne realizoval.

no. ni NIS ni NIS(+) ni LDAP (po krajnej mere v variantah ot iPlanet i PADL) ne 
Kerberized.
i oni ne napisany na GSSPRC_API.


Koroche, vopros postroeniya "pravil'noy" unix seti stoit ostro, kak v 
commercial unix (blago ih nemnogo ostalos') tak i v free.

Vot takoe nebol'shoe vvedenie. tipa zatravka.
Esli vdrug sluchitsya "zhivoj" seminar, zapishite na diktofon chto li :) 

Vladimir Ivanov