文档介绍:1 Kerberos over LDAP.
Москваиюнь 2005
АлексейБарабанов<alekseybb at mail dot ru>.
Настраиваем Kerberos поверх LDAP
Опубликовановжурнале«Системныйадминистратор» в 7 номереза 2005 год.
Здесьприводитсяавторскийвариантбезкупюрредакции.
Статьяявляетсяотрывкомиз 4-ойглавырукописи[1].
Рассмотримнастройкуоткрытойверсии Heimdal Kerberos дляработыс OpenLDAP в
качествехранилищаучетныхданных. Такоерешениепозволитсоздатьоднородную
информационнуюсредудляобеспеченияпроцессааутентификациииавторизации
пользователейв Linux.
Системыаутентификациинаосновестандартов Kerberos всечащеиспользуютсяв
практическихрешениях. Безусловно, Kerberos обладаетмассойпривлекательныхкачеств.
Носамапосебеаутентификацияэто“паспорт”несуществующейстраны, посколькувсегда
успешнаяаутентификацияпредполагаетследующуюфазу–авторизацию. Еслипродолжим
паспортнуюаналогию, тоименнонастадииавторизациивладелецдействительного
“паспорта”получаетправа, соответствующиеэтому“паспорту”. Авторизационнаябаза,
содержащаяпереченьданныхнакаждую, снабженную“паспортом”персону, должна
содержатьещеиданные, позволяющиеустановитьсоответствиеперсоныипаспорта. Но
ведьибазааутентификации, . базафактическипроверяемыхприсопоставлении
“паспорта”иперсоныданныхтожесодержитинформацию, частичнопродублированнуюв
“паспорте”, какминимумимяперсоны. Возвращаяськинформационнымтехнологиям,
далеебудемназыватьнаборправк“паспорту”бюджетом, какэтопринятовпрактике
администрирования, аперсонус“паспортом”принципалом, какэтопринятов Kerberos.
Итак, еслиинформацияобюджетаххранитсяводнойбазе, аинформацияопринципалахв
другой, тополучается, чтодлянормальногофункционированиянеразрывногомеханизма
аутентификациииавторизациинеобходимоподдерживатьобебазы, обеспечиватьих
связанность, иметьдлякаждойсобственноесредствомуправлениядоступом. Кромеэтого,
архивированиеинформациисистемыаутентификациииавторизациитожевтакомслучае
неможетпроизводитьсяединымобразом. Напрашиваетсяочевидноерешениеразместить
обебазыводномхранилище. Вкачестве