Возвращаясь к напечатанному...

0

0

http://www.linux.org.ru/jump-message.jsp?msgid=1579777

2ivlad
>>инфраструктура X.509 масштабируется так же, если не лучше, чем Kerberos.

Сколько потребуется публичных/приватных ключей, чтобы обеспечить доступность N серверов с любого из этих N компьютеров? Насколько я понимаю, требуется перенести публичный ключ каждого сервера на каждый из клиентов - то есть дофига перемещений. В Kerberos за счет симметричности шифрования нужен только ключ сервера и ключ клиента, остальные перемещения он выполняет автоматически.

>> не требует постоянной доступности PA, в отличие от Kerberos.

Kerberos тоже можно использовать в таком режиме - без KDC (причем в статье описан этот способ). Достаточно нарезать долгоживущих сессионных ключей и таскать их с собой. Хотя, конечно, долгоживущий симметричный ключ не есть хорошо.

2gr_buza

>>BTW Kerberos является составной частью M$ AD

>BTW LDAP тоже является составной частью M$ AD.

Эти две фразы не противоречат друг другу. Начни изучать матчасть с элементарной логики.

2all
Всё же в Краснодарском крае на море гораздо лучше, чем в Крыму. В районе Вишневки (между Туапсе и Лазаревским) вполне приличная комната с душем и туалетом сейчас стоит 100 р. Море примерно 20 градусов, те для плавания в самый раз. И с едой вполне сносно - 300 рублей в сутки.

Ссылка

←	arp poisoning, port stealing - помогите разобраться.

linux закрывает все порты

→

> Сколько потребуется публичных/приватных ключей, чтобы обеспечить доступность N серверов с любого из этих N компьютеров? Насколько я понимаю, требуется перенести публичный ключ каждого сервера на каждый из клиентов - то есть дофига перемещений.

Нужно распространить один ключ CA на всех клиентов. В случае AD это делается автоматически.

ivlad ★★★★★
(02.10.06 18:34:56 MSD)

Ответ на: комментарий от ivlad 02.10.06 18:34:56 MSD

При чём здесь AD? Ты же утверждал, что SSL/TLS масштабируется не хуже Kerberos, а теперь выясняется, что нужна еще дополнительная сущность в виде AD для обеспечения этой масштабируемости.

~~geekkoo~~ ★
(02.10.06 18:53:21 MSD) автор топика

Ответ на: комментарий от geekkoo 02.10.06 18:53:21 MSD

> Ты же утверждал, что SSL/TLS масштабируется не хуже Kerberos

Я утверждал (и продолжаю утверждать), что инфраструктура X.509 масштабируется не хуже.

AD - это, грубо говоря, средство транспорта для CA/PA. Его может не быть - можно хранить корневой сертификат на каждом клиенте, более того, если ты ведешь свою иерархию от коммерческих CA, тебе клиенту ничего вообще давать не нужно.

В экстранете, где могут быть миллионы пользователей, это весьма актуально.

ivlad ★★★★★
(03.10.06 11:57:30 MSD)

Ответ на: комментарий от ivlad 03.10.06 11:57:30 MSD

Но в таком режиме сервер не может идентифицировать клиента, если я правильно понимаю, это просто позволяет шифровать соедиенение. Клиенту нужно еще доказать свою идентичность, прежде чем ему будет выдан сессионный ключ?

~~geekkoo~~ ★
(03.10.06 13:06:05 MSD) автор топика

Ответ на: комментарий от geekkoo 03.10.06 13:06:05 MSD

Клиент точно так же может получить свой сертификат где угодно, в любом коммерческом CA, а совсем не обязан обращаться к тебе.

За счет того, что у тебя есть сертификаты корневых CA, ты можешь отследить trust path до клиента.

Никто при этом не мешает тебе при необходимости выдавать сертификаты клиенту самостоятельно.

ivlad ★★★★★
(04.10.06 13:00:53 MSD)

Ответ на: комментарий от ivlad 04.10.06 13:00:53 MSD

Похоже мы понимаем под масштабируемостью разные вещи. В качестве примера я всегда представлял себе большие "полуоткрытые" организации с большим числом серверов (сервисов) и еще большим числом пользователей. Причём пользователи имеют какое-то отношение к организации, и сервис предоставляется им как изнутри так и извне этой организации (пример - кампус при университете).
Масштабируемость же TLS (как я понял с твоих слов) сводится к тому, что для каждого (!) из сервисов нужно перенести публичный ключ на каждый из клиентов. Средствами TLS это не решается и требуется привлечение внешних сущностей - будь то AD или коммерческий CA (сколько они попросят за обслуживание 1000 сервисов?)
Из твоих комментариев я понял, что для одного сервиса и неограниченного числа пользователей не испытывающих недостатка в средствах TLS может быть и неплохое решение. Хотя с моей точки зрения коммерческий (CA) и trusted party - понятия несовместимые.

~~geekkoo~~ ★
(04.10.06 14:57:05 MSD) автор топика

Ответ на: комментарий от geekkoo 04.10.06 14:57:05 MSD

> Масштабируемость же TLS (как я понял с твоих слов) сводится к тому, что для каждого (!) из сервисов нужно перенести публичный ключ на каждый из клиентов.

нет. тебе нужно только иметь сертификат корневого CA. он может быть твоим, а может быть внешним.

еще x.509 позволяет строить иерархии, а в kerberos это несколько затруднительно - прописывать трасты между доменами нужно руками.

ivlad ★★★★★
(04.10.06 16:37:16 MSD)

Ответ на: комментарий от ivlad 04.10.06 16:37:16 MSD

Вообщем-то, звучит убедительно, только не впоне понятно насколько это удобно - переносить сертификат CA на все клиенты и что будет, если с CA что-то случится. Не очень ясно насколько широко сертификакты могут быть использованы для аутентификации пользователя - те насколько я понимаю это возможно, но редко кто из сисадминов на такие эксперименты решается.
Тема, конечно, инетересная (особенно в свете возможностей интегрирования TLS и Kerberos через pkinit), но как-то не очень на мой взгляд истоптанная...

~~geekkoo~~ ★
(05.10.06 15:21:13 MSD) автор топика

Ответ на: комментарий от geekkoo 05.10.06 15:21:13 MSD

> только не впоне понятно насколько это удобно - переносить сертификат CA на все клиенты

как я сказал, в виндовом окружении для этого можно использовать AD. в юниксовом - ну, cfengine какой-нибудь

> если с CA что-то случится

корневой CA вообще можно (и нужно) делать off-line...

ivlad ★★★★★
(06.10.06 12:42:10 MSD)

Ответ на: комментарий от ivlad 06.10.06 12:42:10 MSD

>если с CA что-то случится
Не в том смысле, что CA упадёт, а в том, что с ним произойдут необратимые изменения. Ну, там пароль (ключ) изменится...

~~geekkoo~~ ★
(06.10.06 13:26:26 MSD) автор топика

Ответ на: комментарий от geekkoo 06.10.06 13:26:26 MSD

ну, что будет, если TGS упадет? что будет, если сломается база ключей клиентов?

какой пароль в CA?

ivlad ★★★★★
(07.10.06 14:19:09 MSD)

Ответ на: комментарий от ivlad 07.10.06 14:19:09 MSD

>>>какой пароль в CA?

Ну, а как та херня называется, которой что-то там подписывают?

~~geekkoo~~ ★
(07.10.06 15:07:23 MSD) автор топика

Ответ на: комментарий от geekkoo 07.10.06 15:07:23 MSD

ключ. закрытый. он не меняется просто так.

ivlad ★★★★★
(09.10.06 16:47:20 MSD)

Ответ на: комментарий от ivlad 09.10.06 16:47:20 MSD

М-да ... ликбез основ какой то.

saper ★★★★★
(09.10.06 23:27:45 MSD)

Ответ на: комментарий от saper 09.10.06 23:27:45 MSD

Я рад, что и ты, Олежка, нашёл что-то для себя полезное в этой дискуссии...

~~geekkoo~~ ★
(10.10.06 10:00:04 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	arp poisoning, port stealing - помогите разобраться.

Security

linux закрывает все порты

→

Похожие темы