[Devel] freeIPA
Ivan Melnikov
=?iso-8859-1?q?ivan=2Ea=2Emelnikov_=CE=C1_gmail=2Ecom?=
Ср Май 21 20:36:47 MSD 2008
В сообщении от Wednesday 21 May 2008 11:43:42 Dmitriy M. Maslennikov
написал(а):
> 21.05.08, Evgeny Sinelnikov<sin на etersoft.ru> написал(а):
> > ...
[skip]
> Еще нужно подчеркнуть, что web-не безопасен для администрирования,
> если не проверять SSL сертификаты web серверов, а для этого их нужно
> таскать с собой и ставить везде, или регистрировать на платных
> сервисах и настраивать браузер для их использования, а можно просто
> забить и разрешить доверять серверу просто так. Т. е. их решение
> черезвычайно уязвимо по человеческому фактору.
Не совсем -- они используют https c gssapi negotination -- так что в
результате браузер (firefox) аутентифицируется по Kerberos с использованием
ccache по умолчанию (т.е. без повторного ввода пароля).
BTW в firefox это стандартная возможность -- однако в альтах она не работает.
Даже после пересборки firefox на нашей openssl (с включенной поддержкой
Kerberos) завести это не удалось. Даже не могу решиться куда-нибудь повесить
багу: похоже altlinux-specific, но openssl с Kerberos там никак не соберут,
так что баги как-бы и нет...
--
Best Regars,
Ivan Melnikov <imelnikov на etersoft.ru>
Подробная информация о списке рассылки devel