Комментарии 13
Поражаюсь, насколько иногда люди умные бывают. Ведь даже такое можно, оказывается :)
Windows не так плоха как кажеться, главное это знания не интерфейса а внутреностей. :) Кстати говоря в SMTP службе из IIS баг, который не позволяет использовать GSSAPI он присутсвует в 2003 и 2008 версии.
Никто не говорит, что она плоха. Я вот сейчас дорвался до того, что ldapsearchем читаю записи из базы AD.
Ну это любят говорить немного фанатичные админы :). Речь не о вас конкретно шла. В LDAP тоже GSSAPI хорошо работает и поддерживаеться в венде, если вдруг интересно будет.
Вы можете вкратце сказать, чем gssapi отличается от kerberos? Хочется наконец въехать хотя бы в терминологию
GSSAPI это набор интерфейсов которые задают стандартный набор функции — запросить билет, продлить билет и т.п. GSSAPI являеться посредником между Программой и KDC сервером ну или kerberos протоколом проще говоря.
Он был разработан, чтобы навести порядок т.к. когда он появился существовали разные реализации Kerberos (как и сейчас, MIT и Heimdal) они были несовместимы с друг другом. GSSAPI может использован не только для Kerberos, хотя это самое популярное использование его. Допустим Microsoft разработает новый UltraMegaMSsecure protocol и добавляет ему механизмы вызова через GSSAPI(SSPI), любая программа которая умеет работать с GSSAPI сможет использовать этот новый протокол. Это позволяет избавить разработчика программы во первых понимать как работет авторизация, а во вторых его программа будет работать даже если выйдет новая версия Kerberos10 ;).
К примеру именно через GSSAPI(SSPI) Firefox использует NTLM авторизацию.
Он был разработан, чтобы навести порядок т.к. когда он появился существовали разные реализации Kerberos (как и сейчас, MIT и Heimdal) они были несовместимы с друг другом. GSSAPI может использован не только для Kerberos, хотя это самое популярное использование его. Допустим Microsoft разработает новый UltraMegaMSsecure protocol и добавляет ему механизмы вызова через GSSAPI(SSPI), любая программа которая умеет работать с GSSAPI сможет использовать этот новый протокол. Это позволяет избавить разработчика программы во первых понимать как работет авторизация, а во вторых его программа будет работать даже если выйдет новая версия Kerberos10 ;).
К примеру именно через GSSAPI(SSPI) Firefox использует NTLM авторизацию.
Если матриал интересен, думаю написать топик как настроить squid для доменой прозрачной авторизации.
материал, интересен, но про сквид писано-переписано
вот напишите, например, как прозрачно аутентифицировать на юниховом почтовике
например в если в качестве МТА использован Постфикс, а к чему можно прикрутить МАПИ сервис например или прозрачная смена паролей на почту при смене таковых в АД (и без лишних телодвижений юзеров) и без ексченнджа ;)
эх мечты ;)
вот напишите, например, как прозрачно аутентифицировать на юниховом почтовике
например в если в качестве МТА использован Постфикс, а к чему можно прикрутить МАПИ сервис например или прозрачная смена паролей на почту при смене таковых в АД (и без лишних телодвижений юзеров) и без ексченнджа ;)
эх мечты ;)
У меня Windows AD + Linux (dovecot+postfix) сейчас заканчиваю интеграцию с Kerberos. Все это реально и работает вполне себе отлично.
Я с МАПИ работал только когда у меня был эксчендж и аутлук. Поэтому не совсем вас понял к чему здесь МАПИ?
Я с МАПИ работал только когда у меня был эксчендж и аутлук. Поэтому не совсем вас понял к чему здесь МАПИ?
МАПИ при том что после сменыь в АД аутглюк не матюкнется, введите пароль, запомнить?
а автоматом подключится к почтовику, который автоматом его авторизует уже сновым паролем. (единая точка входа)
общие календари вроде как тоже по мапи работают.
ну я ж говорю мечты, не обращайте внимания, пока это вроде не реализуемо :(
а про сквид писать, правда не надо, инфы немеряно.
а автоматом подключится к почтовику, который автоматом его авторизует уже сновым паролем. (единая точка входа)
общие календари вроде как тоже по мапи работают.
ну я ж говорю мечты, не обращайте внимания, пока это вроде не реализуемо :(
а про сквид писать, правда не надо, инфы немеряно.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
GSSAPI и Firefox/Thunderbird для сквозной авторизации в Windows