[Uneex] Comprehensive authentification

Fr. Br. George uneex@cs.msu.su
Fri, 29 Mar 2002 12:04:04 +0300


On Thu, Mar 28, 2002 at 11:44:00AM +0300, Nikita V. Youshchenko wrote:
> 
> > On Thu, Mar 28, 2002 at 12:07:30AM +0000, Max wrote:
> >
> > > >  Слушай,  попробуй  для  начала  осуществить этот закат солнца на
> > > > системе из 8 машин и 12 человек. А я посмотрю. Когда натрахаешься
> > > > вдоволь,  почитай  что-нибудь  про  LDAP  -- там будут решены 2/3
> > > > проблем, с которыми ты трахался и ещё куча, на которые ты  просто
> > > > забил/не обратил внимания.
> > >
> > > Но почему же Гоша не хочет ldap внедрять. Давай его выслушаем по
> > > этому
>  поводу.
> >
> > 
> >  Мне, кстати, тоже было бы интересно выслушать.
> > 
> >  Только  вот у LDAP действительно бывают проблемы, в том числе со
> > внедрением.  Но  до  появления  большинства   из   этих   проблем
> > самопальным  схемам  ещё  дожить надо. И вряд ли там эти проблемы
> > будут меньше.
> 
> Насколько я понимаю, дело вовсе не в том, что кто-то не хочет внедрять 
> конкретное решение, а в том, что на разбирательство с этим нужно время, 
> которого нет.
	Именно. Собственно, сначала идея как раз с LDAP-ом и была. Ходют
слухи, что по минимуму-муму-муму в линуксе она "внедряется" легким
движением руки над pam-ом. Только почему-то слухи неподтвержденные, хотя
и очень правдоподобные.
> Вот если бы кто-то на семинаре подробно бы рассказал о том, как построить 
> работающую конфигурацию ...
	Предлагаю такой расклад.
1. Надо таки сформулировать, как (теоретически) "внедряется" LDAP.
Приблизительно в таких словах: "в pam.conf меняется то-то и то-то, тогда
login начинает работать так-то, LDAP-сервер этим рулит, все довольны".
2. Попробовать это реализовать хтоь как-то, чтобы убедиться в
возможности.
3. Надо продумать, как вообще по отношению к UNIX-у такая схема
"внедряется". То есть -- какие куски системы патчить или
перенастраивать, если, допустим, поддержка PAM все-таки есть. 
4. Надо понять, чего такой схемой можно добиться, а чего нельзя.
5. Параллельно проверить вопрос экспрота этой системы в M$Win. А
возможно, и не параллельно, мало ли, чего оно не умеет (или, наоборот,
требует).
6. Начать работу над общим проектом. :)

	Слово LDAP, понятное дело, может быть заменено на любое другое.
Лично я не вижу ничего особо страшного и в самопальной схеме -- если,
скажем, ее проще реализовать, или она обещает какие-то особые вкусности.


-- 
			George V Kouryachy (aka Fr. Br. George)
			mailto:george@po.cs.msu.su