История изменений
Исправление ncrmnt, (текущая версия) :
Вот с этим большая проблема была, от чего я и не допилил до логического завершения тот проект, а так и оставил в минимальном виде.
-
В том виде, в котором я тогда ковырял, надо было поднимать сервер авторизации с пыхпыхом. Сейчас, как я понимаю, тоже. Если у тебя официальный ключ, то, как я понимаю, ты можешь использовать облако yubi. Причем то, как опенсурс тулы были написаны уверенности не вселяли совершенно, и несколько раз отваливались на моем тестовом сетапе.
-
Вытекает из пункта 1. Где держать сервера авторизации? Малейший отвал интернета или сети, и мы уже не сможем залогиниться в PAM. А это неприятно даже на моем минимальном сетами (дача и дом с бриджем по впн)
-
Интеграция с LDAP. Вот это ад и израиль. Я больше занимался любовью с LDAP’ом, чем разводил плату, паял и прогал мк. Уже не помню деталей, но для того, чтобы она взлетела надо было на тот момент либо очень здорово уродовать схему, от чего iRedMail’у плохело, либо патчить OpenLDAP. Я хотел, добавив yubi в LDAP сразу фактически сделать авторизацию через OTP для всех приложений, работающих с LDAP. Не выгорело. Один из примеров - почтовый сервер и nextcloud/rainloop. nextcloud реюзает введенный пароль для логина уже по IMAP, но если пароль протухает при его использовании. В итоге у каждого приложения были свои загоны. Ну и плюс постоянные отвали этой системы-ниппель при обновлении.
Возможно сейчас это дело немного улучшили и отполировали, но тогда это был орочий ад. В общем я тогда и решил отложить это дело до лучших времен. Возможно если появится время, освежу в памяти и поковыряю еще. Ну или подкину тебе ключик, а ты расскажешь о приключениях. Аппаратура тут самая самая простая штука, как оказалось ;)
Исправление ncrmnt, :
Вот с этим большая проблема была, от чего я и не допилил до логического завершения тот проект, а так и оставил в минимальном виде.
-
В том виде, в котором я тогда ковырял, надо было поднимать сервер авторизации с пыхпыхом. Сейчас, как я понимаю, тоже. Если у тебя официальный ключ, то, как я понимаю, ты можешь использовать облако yubi. Причем то, как опенсурс тулы были написаны уверенности не вселяли совершенно, и несколько раз отваливались на моем тестовом сетапе.
-
Вытекает из пункта 1. Где держать сервера авторизации? Малейший отвал интернета или сети, и мы уже не сможем залогиниться в PAM. А это неприятно даже на моем минимальном сетами (дача и дом с бриджем по впн)
-
Интеграция с LDAP. Вот это ад и израиль. Я больше занимался любовью с LDAP’ом, чем разводил плату, паял и прогал мк. Уже не помню деталей, но для того, чтобы она взлетела надо было на тот момент либо очень здорово уродовать схему, от чего iRedMail’у плохело, либо патчить OpenLDAP. Я хотел, добавив yubi в LDAP сразу фактически сделать авторизацию через OTP для всех приложений, работающих с LDAP. Не выгорело. Один из примеров - почтовый сервер и nextcloud/rainloop. nextcloud реюзает введенный пароль для логина уже по IMAP, но если пароль протухает при его использовании. В итоге у каждого приложения были свои загоны. Ну и плюс постоянные отвали этой системы-ниппель при обновлении.
Возможно сейчас это дело немного улучшили и отполировали, но тогда это был орочий ад. В общем я тогда и решил отложить это дело до лучших времен. Возможно если появится время, освежу в памяти и поковыряю еще. Ну или подкину тебе ключик, а ты расскажешь о приключениях ;)
Исходная версия ncrmnt, :
Вот с этим большая проблема была, от чего я и не допилил до логического завершения тот проект, а так и оставил в минимальном виде.
-
В том виде, в котором я тогда ковырял, надо было поднимать сервер авторизации с пыхпыхом. Сейчас, как я понимаю, тоже. Если у тебя официальный ключ, то, как я понимаю, ты можешь использовать облако yubi. Причем то, как опенсурс тулы были написаны уверенности не вселяли совершенно, и несколько раз отваливались на моем тестовом сетапе.
-
Вытекает из пункта 1. Где держать сервера авторизации? Малейший отвал интернета или сети, и мы уже не сможем залогиниться в PAM. А это неприятно даже на моем минимальном сетами (дача и дом с бриджем по впн)
-
Интеграция с LDAP. Вот это ад и израиль. Я больше занимался любовью с LDAP’ом, чем разводил плату, паял и прогал мк. Уже не помню деталей, но для того, чтобы она взлетела надо было на тот момент либо очень здорово уродовать схему, от чего iRedMail’у плохело, либо патчить OpenLDAP. Я хотел, добавив yubi в LDAP сразу фактически сделать авторизацию через OTP для всех приложений, работающих с LDAP. Не выгорело. Один из примеров - почтовый сервер и nextcloud/rainloop. nextcloud реюзает введенный пароль для логина уже по IMAP, но если пароль протухает при его использовании. В итоге у каждого приложения были свои загоны. Ну и плюс постоянные отвали этой системы-ниппель при обновлении.
Возможно сейчас это дело немного улучшили и отполировали, но тогда это был орочий ад.
TOTP в этом плане проще и удобнее, но все равно требуется поддержка отдельных приложений и централизованную авторизацию сделать геморройно.