[Tech] Kerberos
Marco Ermini
markoer@markoer.org
Lun 19 Feb 2001 14:13:24 CET
Massimiliano Mancini wrote:
>
> > Perche non provi configurare un server di Kerberos?
> > Si puo' usare anche sotto Linux, e puo essere anche nello stesso Pc.
> >
> > Geri
> >
>
> Mmmmm, mi interessa moltissimo. Hai esperienze in installazioni di Kerberos?
> Ho in progetto di provarlo per la mia azienda (ospedale meyer di firenze).
> Hai qualche dritta?
Attenzione, bisogna vedere *dove* sta il server kerberos (se su 2000 o su
Linux). Il kerberos di Windows 2000 (perche' si parla di un domain 2000, *NON*
di un domain NT, che supporta l'autenticazione unicamente dal suo SAM: in
questo caso si puo' usare soltanto Samba con security = domain, come dicevo)
e' diverso e, si mormora, non standard, quindi ci possono essere dei problemi
nell'autenticare anche gli utenti Linux. Inoltre, kerberos e' concepito
principalmente come protocollo di autenticazione per dial-up, non come gestore
vero e proprio di utenti del dominio: su Windows 2000 kerberos e' il database
di autenticazione per eccellenza per IPSEC, e puo' essere configurato (e quasi
sempre viene) per leggere poi gli in realta' gli utenti dal domain 2000.
Per integrare gli utenti Linux/Win 2000 potrebbe essere piu' interessante
LDAP, ma credo che il modello di sicurezza di 2000 non sia implementato su un
server LDAP free (come OpenLDAP), ed in ogni caso e' difficile trovare della
documentazione sullo schema LDAP di Win2000 (sul sito Microsoft e su MSDN non
si trova nulla); alla fine la cosa migliore e piu' semplice e' usare gli
utenti Unix mappati con quelli Samba con autenticazione = DOMAIN. Si puo' fare
in modo che ogni volta che un utente NT/2000 accede in browse a Linux si crei
automaticamente un utente Linux con lo stesso nome e la stessa password di
quello NT. Io ho fatto questa cosa (e' funzionante ed utilizzata) nella
Intranet di Unicredito Italiano.
ciao ciao ciao
--
Marco Ermini
http://www.markoer.org - ICQ # 50825709
There are two major products that come out of Berkeley: LSD and UNIX.
We don't believe this to be a coincidence. -- Jeremy S. Anderson
Maggiori informazioni sulla lista
flug-tech