[Uneex] Семинар UNИX. Тема: LDAP+

Vladimir Ivanov ivlad на unixgods.net
Чт Окт 23 15:41:12 MSD 2003 

On Thu, Oct 23, 2003 at 02:46:10PM +0400, Nikita V. Youshchenko wrote:

> Возможно, связанное с этим:
> - как заставить винду аутентифицироваться непосредственно на LDAP сервере 
> (т.е. без самбы и вытекающей из неё двойственности паролей). Я слышал, что 
> это возможно, но не знаю подробностей.

Это возможно. В Винде есть такое понятие как GINA (Graphical
Identification and Authentication) - это нечто, иделогически среднее
между PAM и написанием своего /bin/login.

Есть несколько свобовных реализаций альтернативных GINA для Windows,
особенно прошлого века для работы с NIS. Из современных мне известна
pGINA - http://pgina.xpasystems.com/ Ее большое достоинство в том, что
она предоставляет возможность написания plug-in'ов, несколько улучшая
абстракцию.

> 
> К слову, в связи с этим, и в свете разговоров о построении корпоративной 
> сети,  вспомнилось старое утверждение Володи Иванова о "простоте" решения 
> этой задачи под старшими виндами, и "сложности" в unix.

Я такого не говорил. Я говорил, что сложно сделать кросс-платформенное
решение. Особенно, если хочется несколько бОльпей безопасности, чем с
NIS и NFS.

Мои поиски привели меня к следующим вариантам:

- SecureRPC (NIS+ и SecureNFS) Linux не умеет SecureNFS. Точнее, были
  кривые патчи, но так и остались в alpha. На счет BSD не знаю, но
  думаю, что там не лучше. Работает как минимум в HP-UX и Solaris.
- Kerberos + Kerberized NFS. Работает в Solaris и поддерживается Sun.
  Больше, видимо нигде. Есть надежда на то, что в NFSv4 (где
  керберизация стандартна а не подпроект как в NFSv3) это станет
  доступно на бОльшем числе платформ.
- AFS. Есть много подо что. Я так и не попробовал. Вроде, это Денис
  Гамаюнов собирался пробовать, он может добавит что-то.
- DCE. Есть под коммерческие Unix. Есть так же под Linux. Про BSD не
  знаю. Умеет все и еще чуть-чуть. Comitee thing. Практически мертво.
  Теоретически совместимо с Windows, VMS, большими системами.
  Практически я про это только слышал в контексте "мы мигрируем с DCE на
  ...". Говорят, широко применяется у американских военных. Это вообще
  отдельный RPC со всеми вытекаюшими.

Что еще. Где-то рядом с Kerberos стоит GSS API. В основном потому что
Kerberos - чуть ли не единственный рабочий аутентификатор для GSS. GSS
хорошо прижился в IMAP, кстати. В Solaris как раз NFS GSS-ный.

Ну и SASL. оно тоже с GSS пересекается.

В общем, это возможно. Жаль, нет никакого дистрибутива, где это сделано
(намек).

> Может, имеет смысл более подробно поговорить про это? Наверняка у нас есть 
> люди, способные показать, что осмысленного есть в виндовой сети, и мы бы 
> на семинаре посмотрели, какие аналоги есть (или нет) в современном юниксе.


Покажите мне кросс-патформенный SecureNFS. ;) Хотя бы такой же
защищенности, как SMB.

-- 
Vladimir Ivanov

Подробная информация о списке рассылки Uneex