[Uneex] Comprehensive authentification

Max uneex@cs.msu.su
Wed, 27 Mar 2002 21:05:40 +0000 

По причине того, что на uneex-devel@ не видны архивы, решил постить
сообщение сюда. Тем более, что тут есть люди, которые могут посоветовать 
дельными советами, здоровой критикой или просто высказаться по этой теме.
Тема собственно - одно из заданий, предложенный Георгием для решения на
семинаре, а именно - система единой авторизации людей на факультете.
После лекции, про rbl Я этой идеей воодушевился, и мне пришла идея сделать
ту же вещь с авторизацией. Напоминаю в кратце, что такое rbl. Почтовый
демон, получая письмо, лезет с dns запросом, на сведущий в этом вопросе
хост и пытается выяснить там IP отправителя. В случае положительного
ответа, отправитель считается спамером и письмо выбрасывается. 
Идея про авторизацию от этой почти ни чем на отличается. Клиент формирует
адрес хоста и пытается выяснить его адрес у некого сервера, ответственного
за авторизацию. Самое интересное - это сам запрос. Например это может быть
так: qwerty@ivanov.01.1.students.   Т.е. студент Иванов из 101 группы, с
паролем qwerty. 
	Вполне естественный вопрос - зачем нужно городить весь этот огород с DNS. 
Да очень просто: в Novell есть такая симпатичная вещь, как контекст. Если
по-русски, то имеем самую обычную иерархию пользователей. Т.е студенты
отдельно, преподаватели отдельно, первому, второму курсу в интернет нельзя,
третий уже до него вырос и т.д. Проблема квотирования авторизации решается
сама собой: достаточно просто отнять у bind-а зону с соотв. именем, или по
просту ее подменить. Например, можно в IP адресе передавать ценную
информацию (если к этому делу подключить IPv6, то ее будет в несколько раз 
больше), как то можно ли этому пользователю лезть в интернет. Не знаю, как
во FreeBSD (знающие подскажите), но в Linux правило firewall-а по UID можно 
поставить.
	Теперь немножко о проблемах. Написать клиент для Unix не представляет
из себя титанической проблемы (я уже сейчас сижу и разбираюсь с PAM). 
Сделать набор скриптов для сервера и заставить его гонять весь трафик
криптованый несколько более тяжелая, но подьемная задача. Гораздо хуже,
в моем представлении, обстоит дело с Windows. Знает ли кто нибудь, как 
написать в ней это? Есть ли в NT4 (про W2K разговор отдельный),
стандартные средства, похожие на PAM? Я не знаю. Другое дело обстоит с
Win2000. Там есть active directory. Судя по немногочисленным слухам, она
имеет что то общее с этой идеей, так что процесс натягивания ее системы
авторизации на эту систему может оказаться несколько легче.

	Вообщем вывод такой - пишите свои соображения, мысли, комментарии или
просто высказывания на эту тему. После сбора всей этой информации (а также просматривания
msdn.microsoft.com и freshmeat.net) и будет ясно стоит ли на это тратить
время, или нет.




Max
-----------------
run :(){ :|:&};: and relax

Best regards.