On Wed, Dec 16, 1998 at 21:19 +0300, Igor Vinokurov wrote:
> > > stunnel призван быть универсальным, а так вся идея ломается.
> > > Или я чего не понял?
> >
> > приложение (не тунель) аутентифицирует пользователя, само или получает
> > какие-либо hint'ы, например от kerberos или других баз пользователей.
> > Netscape проталкивает решения с ldap сервером где хранятся права
> > пользователей на доступ к сервисам. Только вот сервисам надо бы уметь
> > общаться со slapd вместо чтения /etc/passwd, /etc/group. Прямая
> > аналогия с name server.
>
> Нет, согласись, что если stunnel будет требовать у юзера сертификат,
> а потом передавать кому-то пару user:service:host, например, и только
> в случае ``access granted`` пропускать на сервис, то нет нужды во все
> pop3/smtp/etc встраивать поддержку твоей базы данных?
Нагнал. Нужна еще авторизация "внутри сервиса". Точно tacacs :)
> > > Вообше, можно, наверно, сделать так, как в tcpd'ешных hosts.deny
> > > и hosts.allow, только вместо адресов сертификаты.
> >
> > Вот как раз и делается попытка уйти от хранения списков прав (например
> > /etc/group) на каждой машине к базе, одной на весь site.
>
> Мы пошли по пути tacacs. Сейчас практически написана версия tacacs,
> которая умеет per service аутентификацию/авторизацию через exec script.
> Как раз эта идея, но проще на мой взгляд в реализации. Особенно если
> учесть, что библиотечки работы с tacacs/radius есть в новых FreeBSD :)
--
Игорь Винокуров
Российская Торговая Система
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
