Autentikace uzivatelu (Drive: Disklesy)
Alexandr Malusek
malusek na hroch.ujf.cas.cz
Středa Únor 25 17:27:11 CET 1998
PETR.KOLAR na vslib.cz (Petr Kolar) writes:
> Resil nekdo autentifikaci uzivatelu pri prihlasovani, aby bylo
> mozne udrzovat informace o uzivatelich pouze na centralnim stroji,
> nebylo nutne zpristupnovat primo /etc/passwd (shadow) treba pres NFS
> a aby prihlasovaci hesla nebehala siti mezi stanici a serverem bud vubec
> nebo aspon nezasifrovana?
To maji za ukol tzv. jmenne sluzby (name services). V ramci ONC/ONC+
(Sunovske name services) jsou to NIS, pripadne NIS+. Pokud vim, tak
pod Linuxem neni NIS+ server implementovan, pouze NIS+ klient. NIS
server i klient pro Linux jsou.
V NIS behaji hesla po siti zakryptovana (asi jako v /etc/passwd).
Nejsou tedy "plain", ale pro "znalce" asi nebude velky problem je
rozkryptovat. U NIS+ se da zajistit bezpecnost vyssi.
> Asi to umi AFS - ma s nim nekdo zkusenosti pod Linuxem, nebo je
> nejake lepsi/jednodussi reseni (asi by stacil login ponekud zkrizeny
> s ssh).
AFS je hlavne distribovany file system, nikoliv jmenna sluzba. Myslim,
ze je to postavene na DCE - s tim prakticke zkusenosti nemam. Pokud
vim, tak autentikace jmennych sluzeb je tam postavena na Kerberosu. U
NIS+ je to kombinovana DES + Diffie-Hellmanova metoda, ale da se
pouzit i Kerberos, i kdyz jsem to jeste nevidel (Mozna, ze v Solarisu
2.6 je podpora Kerberosu lepsi.)).
Mozna, ze je pro Linux k dispozici nejaka metoda pouzivajici PAM +
Kerberos - nevim. Pokud vim, tak pokud by se nepouzil PAM, tak by se
musely kerberizovat vsechny aplikace vyzadujici autentikaci (telnet,
ftp, ...), coz sice nekde delaji, ale me se to zda pracne.
--
A. Malusek (malusek na ujf.cas.cz)
UJF AV CR
Další informace o konferenci Linux