Single sign-on

Сейчас сам вожусь и исследую заданный вопрос. Предлагается использовать протокол Kerberos 5. Ситуация такова (что я нашел)

1. все, кто работает через SASL могут работать по протоколу Kerberos. К ним относятся: openldap, cyrus pop/imap; 2. через него работает apache и squid (если поддерживают серверы). Лично у меня пока получилось заставить только Firefox только из-под Винды работать через Squid с использованием kerberos SSO. 3. c SSO можно работать через SSH (ключ -K на клиенте и пара настроек на сервере) - сам проверял, работает. 4. читал, что PostgreSQL поддерживает GSSAPI.

Сам тоже только хочу разворачивать. Так что - предлагаю делиться успехами.

ntlm, kerberos

NTLM чем-то не устроил Микросовтов и они теперь постепенно переводят все на Kerberos. Причем, Мелкомягкий керберос совместим с настоящим.

Поддержка SSO нужна на уровне приложений, а поскольку приложения в подавляющем своём большинстве созданы вразнобой так, словно кроме них и OpenSSL на свете больше ничего нет, то и мечта об SSO реализуема только в рамках окружения на 80-90% написанного «ручками». А так - ну да, всё, что использует SASL, всё, что поддерживает OpenSSO и проч подобные проекты - небезнадёжно. Многие приложения в Linux собраны изначально kerber'изованы, но только в 0,1% случаев это будут действительно нужные вам приложения.

Как частность у меня IE нормально заходит на наши сайты (использующие REMOTE_USER) с mod-auth-kerb. На почтовом сервере exim+dovecot тоже делал cyrus-sasl(gss api)+kerberos - вкачестве клиента использовал kmail - вход по kinit нормальный.

Примерно так и предполагал. Т.е. я теоретически могу, используя тикет, полученный на своей машине с помощью pam kerberos, потом ходить по всем серверам сети по ssh, не вколачивая каждый раз пароль?

получилось заставить только Firefox только из-под Винды

Фигово. Одно из основных приложений, в котором бы хотелось использовать SSO.

потом ходить по всем серверам сети по ssh

Вот в этом я сомневаюсь. Тогда sshd и ssh должны собираться с gss-api, я об это мне слышал. Хотя нет, вот первая ссылка в гугле http://www.sxw.org.uk/computing/patches/openssh.html значит можно.

>>потом ходить по всем серверам сети по ssh

Вот в этом я сомневаюсь

Лично делал - ssh в родной поставке от openSuSE по SSO работает

>Тогда sshd и ssh должны собираться с...

Думается, что нужна поддержка на сервере не в sshd, а в pam. Не?

Да, в PAM, модуль pam_krb5, при чём тут SSH мне тоже непонятно. И пользы от этого IMHO тоже не густо. Вот доступ к винжовым шарам из UNIX без ввода паролей - в разы полезнее был бы.

>И пользы от этого IMHO тоже не густо.

Ну вот у меня 5 серверов и я каждый раз должен вводить пароль, путешествуя по ним. Напрягает.

Ну вот у меня 5 серверов и я каждый раз должен вводить пароль, путешествуя по ним. Напрягает.

Если речь об SSH, то от многократного ввода паролей спасет PubkeyAuthentication

>получилось заставить только Firefox только из-под Винды

Виноват, наврал за недостатком эксперимента. Это была проблема с Active Directory. При поднятии своего собственного Kerberos-сервера, доступ предосталвяется для Firefox без проблем. Просто я тестирую в разных местах, а на работе у меня Active Directory и машина не подключена к домену. Может, это влияет...