LINUX.ORG.RU
 
geekkoo

Kerberos и электронная почта.


0

0

Короткий цикл из двух статей о прикручивании Kerberos к библиотеке SASL2, с последующим прикручиванием этой SASL2 к Postfix и Cyrus-IMAP, и о том, какую пользу это всё может принести при использовании замечательного почтового клиента Thunderbird под Linux и Windows.

Читать сначала:
http://www.hppi.troitsk.ru/Kondrin/sa...
а затем:
http://www.hppi.troitsk.ru/Kondrin/ma...

Есть pdf варианты:
http://www.hppi.troitsk.ru/Kondrin/sa...
http://www.hppi.troitsk.ru/Kondrin/ma...

* ()
Проверено: grob (20.09.2006 5:31:24)

[#]  

Re: Kerberos и электронная почта.

Печально, что всего один графический почтовый клиент да и тот только с версии 1.5

Нежизненно как-то.

***** ()
[#]  

Re: Kerberos и электронная почта.

Много крутить придёться...

* ()
[#] Ответ на: Re: Kerberos и электронная почта. от AVL2 20.09.2006 6:00:53  
grob

Re: Kerberos и электронная почта.

Если мне не изменяет память, evolution поддерживает gssapi

***** ()
[#]  
Freemen

Re: Kerberos и электронная почта.

только вот чем афтара неустраивает способ безопасного соединения внешними средствами с помощью SSL/TLS так и непонятно

()
[#]  
gr_buza

Re: Kerberos и электронная почта.

хорошая статья.

вышеписавшим: как вариант одного из решений очень даже сойдет

**** ()
[#] Ответ на: Re: Kerberos и электронная почта. от Freemen 20.09.2006 9:25:41  
geekkoo

Re: Kerberos и электронная почта.

>>способ безопасного соединения внешними средствами с помощью SSL/TLS

Поясняю. Kerberos не является только лишь средством шифрования соединения. На самом деле, он задумывался как средство сетевой проверки идентичности пользователей (то для чего сейчас зачастую и совершенно необоснованно используют LDAP), а в качестве побочного эффекта из него вырастают такие приятные вещи как шифрование соединений и single-sign on (пароль вводится только при входе в систему, после чего пользователь получает прозрачный доступ к сетевым ресурсам). Кроме того Kerberos легче масштабируется, чем SSL/TLS.

Помимо ссылок в тексте можно ещё вот сюда заглянуть:
http://www.samag.ru/cgi-bin/go.pl?q=articles;n=06.2005;a=10

BTW Kerberos является составной частью M$ AD. Если нет возможности (или желания) использовать свободный KDC (от MIT или Heimdal), то клиентская часть библиотеки может работать и с Active Directory.

* ()
[#] Ответ на: Re: Kerberos и электронная почта. от geekkoo 20.09.2006 7:00:22  

Re: Kerberos и электронная почта.

А pine, например, это умеет уже очень давно

anonymous ()
[#] Ответ на: Re: Kerberos и электронная почта. от geekkoo 20.09.2006 9:55:21  
ivlad

Re: Kerberos и электронная почта.

> На самом деле, он задумывался как средство сетевой проверки идентичности пользователей (то для чего сейчас зачастую и совершенно необоснованно используют LDAP)

теплое с мягким-то не надо путать.

> Кроме того Kerberos легче масштабируется, чем SSL/TLS.

смеялся.

***** ()
[#] Ответ на: Re: Kerberos и электронная почта. от ivlad 20.09.2006 12:43:36  
geekkoo

Re: Kerberos и электронная почта.

>>смеялся.

Ну, взял бы тогда рассказал что-нибудь, может быть вместе посмеялись...

* ()
[#]  

Re: Kerberos и электронная почта.

"Сектор Kerberos" менее распространенный перевод термина "Kerberos realm", чем "сфера Kerberos".

* ()
[#] Ответ на: Re: Kerberos и электронная почта. от vashik 20.09.2006 13:29:37  
geekkoo

Re: Kerberos и электронная почта.

Всё равно и то и другое - неточный перевод. Тем более, что на "сектор Kerberos" google выдает в полтора раза больше ссылок.

* ()
[#] Ответ на: Re: Kerberos и электронная почта. от geekkoo 20.09.2006 14:33:26  

Re: Kerberos и электронная почта.

У вас другой Google (наверное, не русский): мне запрос сфера kerberos дает 14400 результатов, против 885 для сектор kerberos.

* ()
[#] Ответ на: Re: Kerberos и электронная почта. от vashik 20.09.2006 16:36:57  
geekkoo

Re: Kerberos и электронная почта.

Странно это всё, потому что у меня отношение 1450:1040 не в пользу сферы. Что-то Гугль слишком много и часто стал мухлевать. Гугль у меня русский.

* ()
[#] Ответ на: Re: Kerberos и электронная почта. от geekkoo 20.09.2006 9:55:21  

Re: Kerberos и электронная почта.

> BTW Kerberos является составной частью M$ AD. Если нет возможности (или желания) использовать свободный KDC (от MIT или Heimdal), то клиентская часть библиотеки может работать и с Active Directory.

Вот-вот, хотелось бы узнать, как можно seamonkey заставить авторизовываться без паролей по ntlm в своем доме.

Может кто подкажет - как?

Я пробывал подкрутить /etc/krb5.conf и в "about:config" - "network.automatic-ntlm-auth.trusted-uris" -- пока не получилось.

** ()
[#] Ответ на: Re: Kerberos и электронная почта. от fi 20.09.2006 18:00:15  
geekkoo

Re: Kerberos и электронная почта.

NTLM - это не kerberos, а (прошу прощения за мой французский) какое-то закрытое проприетарное дерьмо. AD нормально выступает в качестве KDC, достаточно указать в /etc/krb5.conf что-нибудь вроде:
[realms]
MY.REALM={
kdc=ad.server
kpasswd_server=ad.server
}
и c помощью kinit получить билет с кодировкой типа arcfour-hmac-md5.
Я не уверен, правда, что seamonkey понимает kerberos, поскольку его поддержку стали пихать в firefox и thunderbird уже после того, как классическая mozilla накрылась.

* ()
[#]  
emionch

Re: Kerberos и электронная почта.

Автору респект!

* ()
[#] Ответ на: Re: Kerberos и электронная почта. от geekkoo 20.09.2006 9:55:21  
gr_buza

Re: Kerberos и электронная почта.

>BTW Kerberos является составной частью M$ AD

BTW LDAP тоже является составной частью M$ AD.

учите матчасть, батенька

**** ()
[#] Ответ на: Re: Kerberos и электронная почта. от geekkoo 20.09.2006 13:21:07  
ivlad

Re: Kerberos и электронная почта.

> Ну, взял бы тогда рассказал что-нибудь, может быть вместе посмеялись...

инфраструктура X.509 масштабируется так же, если не лучше, чем Kerberos. В X.509 есть иерархии CA, а аутентификация по сертификату, вообще говоря, может происходить и с кешем CRL, то есть не требует постоянной доступности PA, в отличие от Kerberos.

***** ()
Документация