On Thu, Dec 10, 1998 at 16:52 +0000, Vadim Fedukovich wrote:
> > > По умолчанию SSL не требует сертификатат и личный ключ у клиента.
> > > А чтобы сделать авторизацию как раз и надо сказать SSL-серверу или
> > > stunnel чтобы требовал представить сертификат и продемонстрировать
> >
> > Да, это только шифрующий туннель.
>
> Конечно, по крайней мере версия 2.0a каторую я смотрел. Но одна
> добавленная туда строчка заставляет stunnel требовать сертификаты
> пользователей. А SSL без сертификата пользователя аутентификации
> не дает никакой.
А ты не пробовал эту строчку посылать автору, чтобы он
дополнительную опцию сделал для stunnel?
> > > знание личного ключа. Ну, а авторизацию сделать по содержимому
> > > сертификата.
> >
> > А не проще пропускать только клиентов с валидными сертификатами?
>
> Валидный сертификат обеспечит только аутентификацию; тогда для
> авторизации нужны дополнительные списки; текстовые файлы или ldap
> сервер. Если так не хочется, тогда все должно быть в сертификате
> и должен быть анализ его содержимого. Если конечно делается система
> в которой разным группам пользователей доступны разные сервисы.
stunnel призван быть универсальным, а так вся идея ломается.
Или я чего не понял?
Вообше, можно, наверно, сделать так, как в tcpd'ешных hosts.deny
и hosts.allow, только вместо адресов сертификаты.
--
Игорь Винокуров
Российская Торговая Система
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
