Re: альтернативы LDAP
>>>>> Ed <spied@yandex.ru> writes:
>>>>> On 08/22/11 19:14, Ivan Shmakov wrote:
[…]
>> SSO, к слову, вполне себе работает. За исключением, пожалуй,
>> Web-почты…
> а можно поподробнее?
> то есть в openssh, почте, джаббере и т. п. работает SSO?
> но для этого софт на компьютере (тот же почтовый клиент)
(Мое личное предпочтение — считать электронную почту
равноранговой сетью, поэтому — почтовый пользовательский агент,
MUA.)
> должен знать про kerberos, разве не так?
Конечно.
OpenSSH (ssh, sshd) — знают; настраивается подобно:
--cut: .ssh/config --
Host *
## разрешить использовать GSSAPI/Kerberos…
## … для аутентикации пользователя:
GSSAPIAuthentication yes
## … для аутентикации системы:
GSSAPIKeyExchange yes
--cut: .ssh/config --
--cut: /etc/ssh/sshd_config --
KerberosAuthentication yes
GSSAPIAuthentication yes
GSSAPIKeyExchange yes
--cut: /etc/ssh/sshd_config --
PuTTY, IIRC, также знает (не проверял), но не уверен
относительно версии. (Возможно, development snapshot; спросить
в news:comp.security.ssh; на нее, IIRC, автор был подписан.)
Iceweasel (Firefox) — настройки не требует; со стороны Apache
сделано подобно:
--cut--
<IfModule mod_auth_kerb.c>
AuthType Kerberos
</IfModule>
Require valid-user
--cut--
Разумеется, для HTTPS, поскольку в случае отсутствия
удостоверения Kerberos, сервер запросит имя и пароль.
Dovecot, Mutt, Thunderbird, etc. также поддерживают Kerberos
[1]. (Почти уверен, что Kerberos-аутентикация Mutt на
Dovecot-сервере у меня работала. Впрочем, в основном я
использую IMAP over SSH, с аутентикацией открытым ключом.)
В отношении XMPP и HTTP proxy — пока не пробовал.
[1] http://wiki.dovecot.org/Authentication/Kerberos
--
FSF associate member #7257 Coming soon: Software Freedom Day
http://mail.sf-day.org/lists/listinfo/ planning-ru (ru), sfd-discuss (en)
Reply to: