Re: ssh и krb5
On Tue, Feb 09, 2010 at 06:05:45AM +0700, Denis Feklushkin wrote:
> On Tue, 9 Feb 2010 01:41:19 +0300
> Eugene Berdnikov <bd4@protva.ru> wrote:
>
> > On Tue, Feb 09, 2010 at 12:16:03AM +0700, Denis Feklushkin wrote:
> > > ssh позволяет залогиниться на керберезированный хост не используя
> > > пароль+TGT а используя секретный keytab, импортированный из KDC?
> >
> > Нет.
> >
> > > Нужно для робота, который по ssh будет ходить дела делать на других
> > > машинах
> >
> > Для этого не нужно разрушать базис всей модели безопасности
> > кербероса.
>
> экспорт из KDC секретного ключа не разрушает никаких базисов,
Импорт на клиентские узлы разрушает. Зачем тогда вообще керберос?
С криптографическими инструментами можно сделать массу глупостей,
не имеющих к безопасности никакого отношения. Вы, к примеру, цепляете
эл.подпись к письмам в рассылку. Интересно, кому она здесь нужна?
> > Можно ключ роботу дать, а при желании и билет получить
> > автоматически.
>
> а подробнее? билет то он получит, но расшифровать его не сможет -
> пароль же нужно вводить
Ну да. Демон такой же пользователь для кербероса, как и тот, кто
бацает по клаве. Не умеете пароль -- дайте демону ключ ssh.
--
Eugene Berdnikov
Reply to: