Какой единый метод аутентификации в интранет лучше? (пример в конце каждого варианта ответа)

Единые методы ненужны, т.к. ущерб от «взломов» будет многократ больше.

а где вариант «Глобальные службы единого входа [Google]»?

«По старинке» надежнее. Хотя, на ssh пароли вводить не нужно, если авторизацию по ключам не запретили.

Напомню всем, что речь идёт об интранет, то есть о внутренних сервисах организации супротив интернет-сервисов.

Да, и логин/пароль - всё-таки самый ненадёжный метод, ибо инфраструктуру Kerberos или несимметричного шифрования хрен сломаешь. Да и от челов не зависит.

>а где вариант «Глобальные службы единого входа [Google]»?

Так ведь ПРИМЕР. В заголовке написано.

А где вариант, электронные карты?

Электронные карты - типа электронный ключ с сертификатом внутри? Или какие?

я за глобальную анонимность

> Так ведь ПРИМЕР. В заголовке написано.

ну хорошо. а где вариант «смарткарты» и «биометрия»?

Даешь сканер сетчатки на каждый компьютер!

:)

Kerberos и NTLM - разные вещи

ну при желании можно поставить комплексную систему (сетчатка, особенности строения черепа, голос). все упирается только в деньги :)

Можно еще и видеокамеру перед монитором поставить, чтобы «морду» опознавала :) Т.е. пришел на работу, в глаз тебе посветил сканер сетчатки, потом кладешь руку на сканер отпечатка ладони и система выходит изо «сна». Тем временем распознавалка лица следит, не отошел ли ты от компьютера, и если отошел - автоматом включается блокировка экрана. Если хочешь попасть на какой-нибудь сетевой сервис после прохождения полной аутентификации, та же распознавалка лица через какой-нибудь эдакий pam-модуль дает тебе доступ безо всяких вводов паролей...

Правда, то, что я описал, сильно смахивает на работу какого-нибудь сверхсекретного объекта :)

Думаю сертификат на токене наиболее оптимальный вариант.

Ну и смарт-карты соответсвенно.

PS У делла ноуты со встраиваемыми в корпус смарткарт ридерами. :-)

>Kerberos и NTLM - разные вещи
Ура, нашёлся человек, который это написал! :)
Да, разные.

При соприкосновении с мышью и клавиатурой, находящиеся там нано-иглы берут анализ ДНК. Глобально и надежно.

> в интранет

Пофиксите же, ну.

А так

Глобальные службы единого входа [OpenID]

Только когда я там хотел зарегаться, не нашел на офф сайте ничего.

>Пофиксите же, ну.

http://en.wikipedia.org/wiki/Intranet

Что фиксить-то? Я что написал, то и имею в виду. Именно по этой причине я бы не стал всё же внутри компании использовать OpenID.

Господа, давайте не забывать всё же, что единый вход для веб-приложений - это прежде всего удобство сотрудников, а не мера обеспечения тотальной секьюрности, которая действительно зачастую не слишком актуальна. Речь идёт именно о том, чтобы в оптимале Маша или Петя, единожды авторизовавшись со своей рабочей станции, больше не вводили никаких чудесных логинов и паролей нигде. При этом не стоит забывать о том, что на обычной парольной авторизации ключ клином тоже не сошёлся Всё-таки когда входишь по токену, а токен - личная вещь, то его и спереть не так-то просто даже при большом желании - в особенности если предварительно рассказать сотруднику, что будет за оставленный на рабочем стол или прямо в гнезде USB-порта ключ.

>Что фиксить-то?

А теперь внимательно читаем сообщение, на которое я отвечал.

Да, сорри, не в то сообщение ткнул :)

Ну гугль - это всё-таки не «в интранет».

вполне можно сделать авторизацию на интранет-узлах по google ID.

А если инет доступен, например, не всем пользователям интранета?

доступ только на авторизационную страничку гугла можно открыть.

kerberos + смарткарты/биометрия, за остальное расстреливать.