On Fri, Dec 11, 1998 at 17:49 +0000, Vadim Fedukovich wrote:
> > stunnel призван быть универсальным, а так вся идея ломается.
> > Или я чего не понял?
>
> приложение (не тунель) аутентифицирует пользователя, само или получает
> какие-либо hint'ы, например от kerberos или других баз пользователей.
> Netscape проталкивает решения с ldap сервером где хранятся права
> пользователей на доступ к сервисам. Только вот сервисам надо бы уметь
> общаться со slapd вместо чтения /etc/passwd, /etc/group. Прямая
> аналогия с name server.
Нет, согласись, что если stunnel будет требовать у юзера сертификат,
а потом передавать кому-то пару user:service:host, например, и только
в случае ``access granted`` пропускать на сервис, то нет нужды во все
pop3/smtp/etc встраивать поддержку твоей базы данных?
> > Вообше, можно, наверно, сделать так, как в tcpd'ешных hosts.deny
> > и hosts.allow, только вместо адресов сертификаты.
>
> Вот как раз и делается попытка уйти от хранения списков прав (например
> /etc/group) на каждой машине к базе, одной на весь site.
Мы пошли по пути tacacs. Сейчас практически написана версия tacacs,
которая умеет per service аутентификацию/авторизацию через exec script.
Как раз эта идея, но проще на мой взгляд в реализации. Особенно если
учесть, что библиотечки работы с tacacs/radius есть в новых FreeBSD :)
--
Игорь Винокуров
Российская Торговая Система
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
