>
> > приложение (не тунель) аутентифицирует пользователя, само или получает
> > какие-либо hint'ы, например от kerberos или других баз пользователей.
> > Netscape проталкивает решения с ldap сервером где хранятся права
> > пользователей на доступ к сервисам. Только вот сервисам надо бы уметь
> > общаться со slapd вместо чтения /etc/passwd, /etc/group. Прямая
> > аналогия с name server.
>
> Нет, согласись, что если stunnel будет требовать у юзера сертификат,
> а потом передавать кому-то пару user:service:host, например, и только
> в случае ``access granted`` пропускать на сервис, то нет нужды во все
> pop3/smtp/etc встраивать поддержку твоей базы данных?
В ldap можно хранить информацию о вхождении пользователей в группы
и регулировать ``access granted`` как раз по признаку принадлежности группы.
Помещать информацию о группах можно и в сертификаты, но тогда их
придется слишком часто выпускать. Проще оставить за сертификатами
только функцию аутентификации а авторизацию сделать какой-нибудь базой.
Ну, а много сервисов уже умеют как-нибудь взять user:service:host
без модификации?
> > Вот как раз и делается попытка уйти от хранения списков прав (например
> > /etc/group) на каждой машине к базе, одной на весь site.
>
> Мы пошли по пути tacacs. Сейчас практически написана версия tacacs,
> которая умеет per service аутентификацию/авторизацию через exec script.
> Как раз эта идея, но проще на мой взгляд в реализации. Особенно если
> учесть, что библиотечки работы с tacacs/radius есть в новых FreeBSD :)
Ну, в линуксах есть PAM хоть это и не повод начинать holly war.
Хотя, сам я модуль который с ldap сервером общается, еще не попробовал
Вадим Федюкович
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
