Re: WM и домен

От: Vladimir A. Butenko <CGatePro_at_mx_ru>
Дата: Wed 19 Apr 2006 - 11:38:43 MSD

On Wed, 19 Apr 2006 14:24:10 +0700
  "Victor Sudakov" <CGatePro@mx.ru> wrote:
> Dmitry Akindinov wrote:

>> >>>>>А можно сделать так, чтобы WM прозрачно для юзера авторизовался в 
>> >>>>>CGP, коли уж юзер залогинился в домен?
>> >>>>Он, *&^&**, всё равно пробует авторизоваться через NTLM.
>> >>>>Его даже с Микрософтным собственным хозяйством заставить говорить 
>>через 
>> >>>>Керберос - задача нетривиальная. Так что опция Керберос пока убрана 
>> >>>>(хотя она там и есть). В 5.1 откроем, но гарантий, что с Микрософтом 
>> >>>>сразу будет работать - нету.
>> >>>Дык, а через NTLM прозрачная авторизация должна работать? 
>> >>Что значит "прозрачная"?
>> >
>> >Single Sign-On
>> 
>> С NTLM это работать не будет, так как для этого серверу нужен доступ к 
>> доменным паролям в чистом виде (точнее - к их NT и LM хэшам.)

>
> Так если я пароль в CGP сделаю идентичным паролю в домене, почему бы
> этому не работать?

Потому что это не то же самое, что Single Signon. Single Signon - это не когда все мои аккаунты во всех сервисах имеют один и тот же пароль, а когда я каким то образом говорю "системе" (что бы под этим именем ни было), что я - это я (давая ей пароль или дыхнув в неё в нужное место нужным перегаром), а потом она, признав, что это я - позволяет мне суваться во все сервисы без всякой дополнительно аутентикации с моей стороны.

В случае Кербероса такой "системой" является KDC - он, узнав меня раз, выдает мне тикет, а я потом, размахивая этим тикетом - пролезаю всюду. точнее, размахивают программы, а я как раз больше никуда и ни в кого уже ничего не ввожу (ну, там на самом деле получается еще один тикет, но это не важно).

Если и другие методы. Например -

В CGatePro есть другой SingleSign: вы когда залогинились в WebUSer сессию, то получили (тикет) - Session-ID (это белиберда после слова /session/ в URL). Размахивая этой билибердой (без Вашего участия) Ваш браузер делает всё, что Вам нужно - при этом не поддерживая постоянного соединения. Более того, если включить "спец. опцию", то этот самый Session-ID можно использовать для того, чтобы залогиниться в другие серсисы (POP,IMAP, чаще всего - PWD/CLI). Аутентиция по сертификату - это тоже в некотором смысле Single SignOn, но происходит он у Вас на десктопе: Вы своему компутеру расшифровываете (введя пароль) сохраненный на нем Ваш private Key, и получаете возможность влезать во все сервисы (в том числе - и CGatePro), пользуясь этим private key и сертификатом, выданном Вам при генерации ключа. Выданном кем-то, кому CGatePro Domain в который Вы логинитесь - верит.

SIP последнее пока не поддерживает (аутентикация через TLS) - но будет, как только будут соответствующие клиенты.

> --
> Victor Sudakov, VAS4-RIPE, VAS47-RIPN
> sip:sudakov@sibptus.tomsk.ru
>
Sincerely,
Vladimir Получено Wed Apr 19 07:37:47 2006