LINUX.ORG.RU
ФорумAdmin

Protocol Transition


0

1

Пусть есть некий сайт, работающий с postgres.

- Хочется всех пользователей держать в одном месте и чтобы можно было проверить этих пользователей (раздать им права) не только в апаче, но и в базе данных.

- Хочется, чтобы пользователи логинились один раз на рабочую станцию и ходили внутри локалки на сайт не вводя свои данные повторно

- Хочется, чтобы сайт был доступен пользователям в интернете

- Хочется, чтобы пользователи из интернета использовали персональные сертификаты и не вводили пароли

Казалось бы все просто:
- ставим OpenLDAP, Kerberos, OpenCA настриваем аутентификацию и все готово.

Но есть у меня вопрос:
- как пользователи, опознанные через сертификат будут прокинуты далее в локалку при помощи kerberos?

Какой компонент в Linux за это отвечает?

Ответ на: комментарий от mikki

ничего не понятно.


Что не понятно? Берем у микрософта описание фичи «Protocol Transition» от продукта IIS и пытаемся перевоплотить в Linux.

Windows умеет, а Linux - не готов

ArsenShnurkov
() автор топика
Ответ на: комментарий от ArsenShnurkov

Берём linux и ставим без графики на сервер и пытаемся поставить windows без графики.

linux умеет, а Windows - не готов.

Утрирую, конечно, но как-то так.

Deleted
()

> ходили внутри локалки на сайт не вводя свои данные повторно

AFAIK, «не введение данных повторно» работает только на IE с NTLM-аутентификацией, которая, кстати, прилично дырява.

Deleted
()
Ответ на: комментарий от Deleted

linux умеет, а Windows - не готов.


мне как-то плевать, что там windows не умеет.
А вот то, что в Linux так сделать нельзя - это существенный минус,
который может быть приведен в любой документации,
чтобы отжать проект

ArsenShnurkov
() автор топика
Ответ на: комментарий от Deleted

Более подробную информацию можно


Когда настраиваешь аутентификацию в SharePoint там можно выбрать, какая она будет - NTLM или Kerberos (для последнего надо дополнительно прописывать SPN).

Браузер использует протокол SPNEGO, поэтому они с шарепоинтом договариваются, будет ли использоваться NTLM или Kerberos.

ArsenShnurkov
() автор топика
Ответ на: комментарий от ArsenShnurkov

Вот, умеешь же агрументировать.

Ты вопросы задавай не в стиле «а вот в микрософте есть такое то, хочу тоже самое, полный аналог», а чуть по-другому.

Кроме того, учитывай тесную интеграцию ms-продуктов между собой и то, что бОльшая часть браузера IE - часть операционной системы.

По теме, если надо FF пускать через kerberos - ищи конкретную реализацию (firefox+kerberos+sso), он нормально работает. Надо BD пускать - ищи, как дружить BD с kerberos.

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin