ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: Inet-Admins
Inet-Admins mailing list archive (inet-admins@info.east.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [inet-admins] tac+ia


  • To: inet-admins@info.east.ru
  • Subject: Re: [inet-admins] tac+ia
  • From: "Andy Igoshin" <ai@vsu.ru>
  • Date: Wed, 12 Apr 2000 17:30:27 +0400
  • In-Reply-To: <Pine.LNX.4.04.10004121558040.19120-100000@relay.btrc.ru>

On Wed, 12 Apr 2000 17:08:57 +0400 (EEST)
 Michael Dankov <misha@btrc.ru> wrote:
> 
> Хай!
> 
> On Wed, 12 Apr 2000, Andy Igoshin wrote:
> 
> Мне кажется, что проблем с блокировками будет гораздо меньше (или не будет
> вовсе), если пользовать нечто более заточенное под взаимодействие 
> точка-многоточка, чем пайпы.
> 
>  Это:
>    - sockets
>    - system V IPC (очереди сообщений)
> 
> 1. Сокеты. По соображениям безопасности лучше пользовать unix domain.
>  Однако для собираемости на не-юникс серверах можно сделать все
> на tcp или udp, прибиндить на 127.0.0.1, с других адресов запросы
> фильтровать. Правда, в этом случае без использования криптографии 
> для общения между сервером и aaa-модулем все равно будет возможен local 
> exploit.

я думал об этом. просто это создаст, быть может, большие трудности для людей,
которые будут разрабатывать принимающую часть этого дела, так что не знаю
даже.

 
> 2. System V IPC. Почему-то этот вариант взаимодействия используется
> довольно
> редко. Может быть, он не совсем стандартен? Причин не использовать его на
> линуксовом сервере я не вижу.

опять же речь идет о том, что надо упростить жизнь разработчику внешнего
модуля. я не уверен, что этот вариант будет прост.

  
> AI>Есть тенденция прикручивать к tac+ia различные базы данных, причем
> AI>прикручивать насмерть, до прошивки имен таблиц и т.п.
> AI>
> AI>В этом смысле неплохим решением явилась внешняя аутентификация
> AI>
> AI>... = extern ...
> AI>
> AI>но поднимать каждый раз environment базы данных несколько накладно.
> AI>
> AI>Отсюда мысль сделать внешнюю аутентификацию как в cyrus-imap - через
> pipe к
> AI>программе, которая будет реализовывать внешнюю аутентификацию.
> AI>Вопрос в этом случае в производительности данного механизма и в том, что
> AI>аутентификацию будут запрашивать различные (fork) процессы, т.е.
> блокировки и
> AI>прочее. В том смысле, что в случае текущей реализации внешней
> аутентификации,
> AI>порождается столько соединений к базе, сколько необходимо, но при этом
> на
> AI>каждое соединение полностью инициализируется envorinment базы.
> AI>
> AI>Далее, все то-же про внешний аккаунтинг.
> 
>     С уважением, Даньков Михаил, г. Белгород.
> 
>                  ОАО "Деловая Телерадиокоммуникация" - партнер Глобал Один
>                  тел./факс +7-(0722)-27-48-45     http://www.btrc.ru
>                  2:5037/9@fidonet                 HAM CALLSIGN: RK3ZWO
> 
> =============================================================================
> "inet-admins" Internet access mailing list. Maintained by East Connection
> ISP.
> Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to
> quit.
> Archive is accessible on http://info.east.ru/rus/inetadm.html

--
Andy Igoshin <ai@vsu.ru>                 Network Operation Center
Phone: +7 (0732) 522406                             of
Fax:   +7 (0732) 789820                  Voronezh State University
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html



 




Copyright © Lexa Software, 1996-2009.