URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 12741
[ Назад ]

Исходное сообщение
"OpenNews: Kerberos поверх LDAP. Чем плохи 'TCP Over TCP' туннели."
Отправлено opennews , 15-Ноя-05 23:57

Aleksey Barabanov опубликовал две новые статьи (в PDF формате):
-  "Почему TCP поверх TCP - плохая идея (http://www.barabanov.ru/arts/tcp/TCP_over_TCP_rus.pdf)" - перевод документа поясняющего почему не стоит использовать туннели поверх TCP, от автора "PPP over SSH" скрипта (http://sites.inka.de/bigred/sw/ssh-ppp-new.txt) и проекта CIPE (http://sites.inka.de/~bigred/devel/cipe.html) (Crypto IP Encapsulation);
-  "Настраиваем Kerberos поверх LDAP (http://www.barabanov.ru/arts/kerberos_over_ldap/Kerberos_ove...)" - настройка открытой версии Heimdal Kerberos для работы с OpenLDAP в качестве хранилища учетных данных.

Ранее опубликованные статьи:
-  "Обзор дистрибутива SuSE Professional 9.2 (http://www.barabanov.ru/arts/suse92overview/suse92overview-w...)";
-  Отрывок рукописи "LDAP и Все-Все-Все (http://www.barabanov.ru/arts/LDAPremarks-draft-2.pdf)";
-  "Обновление SuSE Linux 9.0 до 9.1 с помощью apt (http://www.barabanov.ru/arts/how-to-upgrade-suse-by-apt.html)";
-  "Модификация дистрибутивных дисков SuSE (http://www.barabanov.ru/arts/how-to-modify-suse-dvd.html)".
URL: http://www.barabanov.ru/arts.html
Новость: http://www.opennet.me/opennews/art.shtml?num=6442

Содержание

Kerberos поверх LDAP. Чем плохи ,toor99, 23:57 , 15-Ноя-05
Kerberos поверх LDAP. Чем плохи ,ram_scan, 07:33 , 16-Ноя-05
Kerberos поверх LDAP. Чем плохи ,buzi, 10:20 , 16-Ноя-05
Kerberos поверх LDAP. Чем плохи ,buzi, 10:23 , 16-Ноя-05
Kerberos поверх LDAP. Чем плохи ,buzi, 10:32 , 16-Ноя-05
- Kerberos поверх LDAP. Чем плохи ,pavtor, 22:29 , 16-Ноя-05
Kerberos поверх LDAP.,Andrey, 16:29 , 16-Ноя-05
- Kerberos поверх LDAP.,buzi, 10:16 , 17-Ноя-05
Kerberos поверх LDAP. Чем плохи ,omerm, 10:23 , 17-Ноя-05
Почему TCP.....,Алексей Барабанов, 00:34 , 18-Ноя-05
- Почему TCP.....,Charlie Root, 22:03 , 19-Ноя-05

Сообщения в этом обсуждении

"Kerberos поверх LDAP. Чем плохи "
Отправлено toor99 , 15-Ноя-05 23:57

Промптом переводил? Так вы бы хоть вычитывали после него. Что такое, например, "каждая повторная передача просто будет добавлять к проблеме - внутреннему meltdown эффекту"? Или просто сами не поняли, о чём речь? Или вот "Когда соединение верхнего слоя стартует быстро, его таймеры быстрые тоже". Такое впечатление, что русский язык вам не родной.
Conclusion: читайте по-английски, а такие переводы - в печку.

"Kerberos поверх LDAP. Чем плохи "
Отправлено ram_scan , 16-Ноя-05 07:33

И анонс к статье через одно место написан =( Я его истолковал как "почему нельзя использовать TCP туннели и CIPE заодно", хотя CIPE именно этими характерными засадами как раз не страдает и на каналах с потерями показывал себя очень достойно.

"Kerberos поверх LDAP. Чем плохи "
Отправлено buzi , 16-Ноя-05 10:20

про kerberos over ldap... в статье автор говорит о работе через локальный сокет... однако встречаются примеры запросов к лдапу не через сокет.. а через ldap://localhost...путаница для некоторых может возникнуть однако..

"Kerberos поверх LDAP. Чем плохи "
Отправлено buzi , 16-Ноя-05 10:23

ну и update_anon это тоже... ужас..

"Kerberos поверх LDAP. Чем плохи "
Отправлено buzi , 16-Ноя-05 10:32

ещё добавлю... видимо автор ставит креберос ещё и на машине которая смотрит в интернет... "5 баллов"..

"Kerberos поверх LDAP. Чем плохи "
Отправлено pavtor , 16-Ноя-05 22:29

А что такого ужасного в использовании Kerberos на машине, которая смотрит в инет?

"Kerberos поверх LDAP."
Отправлено Andrey , 16-Ноя-05 16:29

За статью спасибо.
Но вес ее это только для ознакомления, и сам факт что это возможно.
Давно использую ldap, недавно возникла необходимость в распределенной fs для пары сотен nfs клиентов, так вот практически для всех FS необходим kerberos.
Далее по статье наезд о оценке профессионализма по ou=KerberosPrincipals необоснован, т.к. он прописывается в krb5.conf, опечатку сделать может любой и то что на эти грабли многие наступили ... неоправдывает.
Хорошо было бы увидеть именно поднятие kerberos на базу уже _существующего_ ldap, как это упоминается в статье.
Так я сейчас понял что любые добавления пользователей будут в _другой_отличной_ ветке ou=KerberosPrincipals.
Непонятен вопрос по синхронизации записей паролей,
кто всем этим будет заниматься - userPassword, sambaLMPassword, sambaNTPassword еще вот добавляется krb5key
Про скорость обработки запроса, надо прописывать индексы в ldap и все будет работать приемлемо.
buzi:
1. разуй глаза ldap://localhost упоминается только при добавлении записи.
2. согласен, хотя при настройке с соответствующими правами работать будет.
3. и что дальше... ? ... будешь ломать?

"Kerberos поверх LDAP."
Отправлено buzi , 17-Ноя-05 10:16

1. я заметил что только при добавлении.. но может возникнуть путаница в мыслях у некоторых.. это всё что я имел ввиду
2. для чего делать соответствующие настройки чтобы разрешить update_anon.. лучше сделать соответствующие настройки чтобы избежать анонимных соединений
3. таким образом и DC можно на интернет-шлюз ставить.. кто ломать-то будет.. да? 8)
у меня просто другое мнение 8)

"Kerberos поверх LDAP. Чем плохи "
Отправлено omerm , 17-Ноя-05 10:23

Translation of TCP/TCP article is horrid. The translator should've reviewed his work before posting. The good news is that link the original article was still present in the PDF; this turned out to be the only way to read the article.

"Почему TCP....."
Отправлено Алексей Барабанов , 18-Ноя-05 00:34

ЛЮДИ !!!
Этот перевод ПОЛУФАБРИКАТ к статье ПОЧЕМУ ЭТО НЕ ТАК.
Т.е. TCP поверх TCP это НОРМАЛЬНО !
Автор этого опуса ЧАЙНИК!
Сейчас напишу в эху тоже самое.
Обратите внимание в индексе сайта эта статья не проанонсена!

"Почему TCP....."
Отправлено Charlie Root , 19-Ноя-05 22:03

Обосрался, так сидел бы уж, и молчал.