sprava hesel ve velkem
Martin Mares
mj na ucw.cz
Pátek Říjen 9 17:44:29 CEST 1998
Zdravim,
> Take mi to pripada jen s obtizemi (a s bezpecnostnimi riziky, ze nekdo
> bude mit nekde jiny uid nez predpokladate jinde) ukocirovatelne. Myslel
> jsem, jestli neni neco takoveho jako kombinace NIS a ssh - hesla na jednom
> serveru, na kterem bezi nejaky autentizacni demon, uzivatel prijde na
> pocitac v ucebne, nabootuje do Linuxu a pri prihlasovani si program login
> neoveruje hesla v lokalnich souborech, ale pres toho autentizacniho demona
> (s kryptovanym prenosem, tj. ani zakryptovana hesla by se neprenasela
> v plain textu). Soubory /etc/{passwd,group} (bez hesel) by se kvuli dalsim
> informacim mohly na stanici kopirovat ze serveru traba pres ssh.
Ja jsem sveho casu takovy system napsal -- viz ftp://atrey.karlin.mff.cuni.cz/pub/local/suas-040397.tar.gz.
Vyhody: Bezpecny protokol (challenge/response autentikace)
Je schopen se domluvit s NFS-daemonem a uznavat pouze ty uzivatele,
kteri se uspesne autentikovali a dosud neodlogovali.
Nevyhody: Nepodporuje zmeny hesla po siti, nutno pres ssh na server
Dokumentace minimalni, ba skoro zadna (na druhou stranu, jsem
k dispozici pro pripadne dotazy :-))
Autorizaci pres tento server jsem zatim dodelal pouze do loginu
a sshd, pro ostatni programy to ovsem neni problem, jakoz ani
neni problem napsat pro to PAM modul.
Have a nice fortnight
--
Martin `MJ' Mares <mj na ucw.cz> http://atrey.karlin.mff.cuni.cz/~mj/
Faculty of Math and Physics, Charles University, Prague, Czech Rep., Earth
"Linux hackers are funny people -- they count the time in patchlevels."
Další informace o konferenci Linux