[Devel] freeIPA

Ср Май 21 20:36:47 MSD 2008

В сообщении от Wednesday 21 May 2008 11:43:42 Dmitriy M. Maslennikov 
написал(а):
> 21.05.08, Evgeny Sinelnikov<sin на etersoft.ru> написал(а):
> > ...
[skip]
> Еще нужно подчеркнуть, что web-не безопасен для администрирования,
> если не проверять SSL сертификаты web серверов, а для этого их нужно
> таскать с собой и ставить везде, или регистрировать на платных
> сервисах и настраивать браузер для их использования, а можно просто
> забить и разрешить доверять серверу просто так. Т. е. их решение
> черезвычайно уязвимо по человеческому фактору.

Не совсем -- они используют https c gssapi negotination -- так что в 
результате браузер (firefox) аутентифицируется  по Kerberos с использованием 
ccache по умолчанию (т.е. без повторного ввода пароля).

BTW в firefox это стандартная возможность -- однако в альтах она не работает. 
Даже после пересборки firefox на нашей openssl (с включенной поддержкой 
Kerberos) завести это не удалось. Даже не могу решиться куда-нибудь повесить 
багу: похоже altlinux-specific, но openssl с Kerberos там никак не соберут, 
так что баги как-бы и нет...

-- 
Best Regars,
Ivan Melnikov <imelnikov на etersoft.ru>