Autentikace uzivatelu (Drive: Disklesy)

[Alexandr Malusek]

PETR.KOLAR na vslib.cz (Petr Kolar) writes:

>    Resil nekdo autentifikaci uzivatelu pri prihlasovani, aby bylo 
> mozne udrzovat informace o uzivatelich pouze na centralnim stroji,
> nebylo nutne zpristupnovat primo /etc/passwd (shadow) treba pres NFS
> a aby prihlasovaci hesla nebehala siti mezi stanici a serverem bud vubec 
> nebo aspon nezasifrovana?

To maji za ukol tzv. jmenne sluzby (name services). V ramci ONC/ONC+
(Sunovske name services) jsou to NIS, pripadne NIS+. Pokud vim, tak
pod Linuxem neni NIS+ server implementovan, pouze NIS+ klient. NIS
server i klient pro Linux jsou.

V NIS behaji hesla po siti zakryptovana (asi jako v /etc/passwd).
Nejsou tedy "plain", ale pro "znalce" asi nebude velky problem je
rozkryptovat. U NIS+ se da zajistit bezpecnost vyssi.

> Asi to umi AFS - ma s nim nekdo zkusenosti pod Linuxem, nebo je
> nejake lepsi/jednodussi reseni (asi by stacil login ponekud zkrizeny
> s ssh).

AFS je hlavne distribovany file system, nikoliv jmenna sluzba. Myslim,
ze je to postavene na DCE - s tim prakticke zkusenosti nemam. Pokud
vim, tak autentikace jmennych sluzeb je tam postavena na Kerberosu.  U
NIS+ je to kombinovana DES + Diffie-Hellmanova metoda, ale da se
pouzit i Kerberos, i kdyz jsem to jeste nevidel (Mozna, ze v Solarisu
2.6 je podpora Kerberosu lepsi.)).

Mozna, ze je pro Linux k dispozici nejaka metoda pouzivajici PAM +
Kerberos - nevim. Pokud vim, tak pokud by se nepouzil PAM, tak by se
musely kerberizovat vsechny aplikace vyzadujici autentikaci (telnet,
ftp, ...), coz sice nekde delaji, ale me se to zda pracne.

--
A. Malusek  (malusek na ujf.cas.cz)
UJF AV CR