Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Компания Cloudflare опубликовала opkssh для аутентификации в SSH через OpenID Connect"	+/–
Сообщение от opennews (??), 26-Мрт-25, 15:19
Компания Cloudflare представила инструментарий opkssh (OpenPubkey SSH), позволяющий интегрировать в OpenSSH  средства централизованной аутентификации с возможностью входа через провайдеров OpenID Connect. При помощи opkssh можно избавиться от ручной работы по  управлению и настройке SSH-ключей, а также организовать подключение к серверу с любых хостов, без необходимости создания закрытых ключей на каждом клиентском компьютере и без ручного копирования открытых ключей на сервер. Для подключения достаточно выполнить на сервере привязку к учётной записи у провайдера OpenID. Код инструментария написан на языке Go и распространяется под лицензией Apache 2.0... Подробнее: https://www.opennet.me/opennews/art.shtml?num=62952
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 26-Мрт-25, 15:19	–1 +/–
Действительно, почему бы и нет, выглядит секурно!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #28, #32, #52, #100, #114

2. Сообщение от Аноним (-), 26-Мрт-25, 15:23	+1 +/–
Вот она сила опенсорса! Компании с радостью делятся своими наработками.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #29

3. Сообщение от Аноним (3), 26-Мрт-25, 15:23	+6 +/–
> Для привязки учётной записи к OpenID администратор сервера выполняет команду "opkssh add". И? Это буквально ничем не отличается от ручного копирования ключей. Одну операцию заменили на другую, да ещё и сомнительную с точки зрения безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #85

4. Сообщение от Аноним (7), 26-Мрт-25, 15:24	+7 +/–
Я правильно понимаю, что в такой схеме компрометация провайдера OpenID означает компрометацию всех клиентов? Если взломают провайдера OpenID или его администратор окажется продажен, то что мешает сгенерировать от моего имени токен и подключиться к моему серверу?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12, #96

6. Сообщение от Аноним (6), 26-Мрт-25, 15:27	–6 +/–
>проверит российские сервисы и операторов связи на использование иностранной серверной инфраструктуры https://vc.ru/services/1875747
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

7. Сообщение от Аноним (7), 26-Мрт-25, 15:28	+2 +/–
Ручной ключ живёт вечно и привязан к одному хосту. Некоторые правда ставят для ключа пустой пароль  и копируют один ключ на разные системы, чтобы не заморачиваться с прописыванием на сервере, но потом в один прекрасный день обнаруживают, что по их сети шарится кто-то, выудивший ключ из старого диска, выброшенного на помойку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #38, #60

8. Сообщение от Аноним (11), 26-Мрт-25, 15:29	+/–
> подключение к серверу с любых хостов Вот это точно, организуют они тебе подключение с любых хостов :) Сейчас первое, что надо узнавать, в чьей юрисдикции этот OpenID. А то получится, как с Линусом: вроде и open, и в Америке.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #48

9. Сообщение от пох. (?), 26-Мрт-25, 15:34	+6 +/–
краудшмара как всегда - из всех возможных и невозможных методов авторизации выбрала самый худший. Теперь для работы в консоли - нужен браузер. Причем модный-современный-распоследней версии.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #50, #110

10. Сообщение от Аноним (-), 26-Мрт-25, 15:34	+/–
Так оно опен независимо от юрисдикции. Просто потому что ты можешь скачать код и развернуть где захочешь, хоть на своем подкроватном сервере. Вопрос зачем и кто с ним будет общаться, открытый, но возможности у тебя есть. Так же и с Линуксом - да, оттуда выкинули сотрудников подгебнявых компаний, но никто не запрещает им писать код самим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #13

11. Сообщение от Аноним (11), 26-Мрт-25, 15:34	+5 +/–
Это не они делятся, а ты доступом к своему серверу. Где хостится это OpenID и в чьей юрисдикции?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #17

12. Сообщение от пох. (?), 26-Мрт-25, 15:36	–4 +/–
не переживай так сильно, компроментация гитляпа означает компроментацию всего мира целиком через миллиарды неочевидных цепочек зависимостей. твой локалхост при этом наверное даже уцелеет, потому что просто на него пожалеют время
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #33

13. Сообщение от Аноним (11), 26-Мрт-25, 15:38	–1 +/–
> можешь скачать Не можешь. Многие закрыли доступ к своим "open".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #79

14. Сообщение от Аноним (6), 26-Мрт-25, 15:41	–1 +/–
https://opennet.ru/48945-browsh
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #18

15. Сообщение от Krtek (?), 26-Мрт-25, 15:42	+3 +/–
У меня только один вопрос: что это и зачем оно нужно?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20, #23, #35, #44, #56, #62, #113

16. Сообщение от Аноним (16), 26-Мрт-25, 15:43	+4 +/–
Как показали недавние события, все эти подписи до лампочки, если в проекте участвуют анонимные ЖинТяны. Достаточно немного надавить на задолбанного мейнтенера... и можно пихать бекдоры куда угодно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #69, #142

17. Сообщение от inklesspen (ok), 26-Мрт-25, 15:50	–3 +/–
Да хоть свой OpenID сервер ставь и в своей юрисдикции держи
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #26

18. Сообщение от пох. (?), 26-Мрт-25, 15:57	+1 +/–
для работы дополнительно должен быть установлен Firefox новее выпуска 56 ну такое себе... впрочем, полагаю, с 18го года эта поделка успела уже умереть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #19

19. Сообщение от Аноним (6), 26-Мрт-25, 15:58	–1 +/–
https://github.com/browsh-org/browsh/releases
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #22

20. Сообщение от пох. (?), 26-Мрт-25, 15:59	+3 +/–
> У меня только один вопрос: что это и зачем оно нужно? клаудшмара: орган заботы о пользователях и пользуемых интернетом гитхаб: чатик для разработчиков софта и примазавшихся, под крылышком лучшего друга опенсорсия ssh: ненужная программа для взлома злоумышленниками твоего сервера не благодари
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #98

21. Сообщение от Омномно (?), 26-Мрт-25, 16:01	+1 +/–
SSH-сертификат со сроком жизни и тулза для её выписывания, если угодно, на сервере, не?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #64, #65

22. Сообщение от пох. (?), 26-Мрт-25, 16:01	+1 +/–
> https://github.com/browsh-org/browsh/releases настоящий браузер для его работы, к сожалению, все еще нужен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

23. Сообщение от Аноним (11), 26-Мрт-25, 16:02	+5 +/–
Технический ответ: чтобы писать ААА в файле БББ вместо писанины ВВВ в файле ГГГ. Конкретные значения первой пары озвучены в статье, вторая - штатные средства самого ssh. Практический ответ: чтобы можно было получить доступ к твоему серверу по требованию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #97

24. Сообщение от Аноним (24), 26-Мрт-25, 16:05	+/–
https://smallstep.com/blog/diy-single-sign-on-for-ssh/
Ответить | Правка | Наверх | Cообщить модератору

25. Сообщение от Аноним (25), 26-Мрт-25, 16:06	+4 +/–
>без необходимости создания закрытых ключей на каждом клиентском компьютере Да, да, все приватные ключи надо срочно доверить GitHubу и Cloudflare!
Ответить | Правка | Наверх | Cообщить модератору

26. Сообщение от Аноним (11), 26-Мрт-25, 16:10	+2 +/–
В чём смысл ставить ещё какой-то мутный чужой код на свой сервер, если всё делается штатными средствами: вместо файла opk/auth_id используя ssh/authorized_keys... Тем более, что opk/auth_id открыто светит аккаунтами, а утечка второго вообще ничего не даёт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #39, #109

28. Сообщение от bdrbt (ok), 26-Мрт-25, 16:37	+1 +/–
Дэвид, перелогинься.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

29. Сообщение от КО (?), 26-Мрт-25, 16:40	+1 +/–
Вас не смущает что OpenID закрылась в 2018?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #37, #81

32. Сообщение от 1 (??), 26-Мрт-25, 16:47	+5 +/–
Особенно "Для подключения достаточно выполнить на сервере привязку к учётной записи у провайдера OpenID." И все твои сервера там.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #89

33. Сообщение от 1 (??), 26-Мрт-25, 16:49	+/–
У AI времени много и скрипты не различают большой сервер или подкроватный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #41, #53

35. Сообщение от Аноним (-), 26-Мрт-25, 16:55	–1 +/–
Хм, странно что ты сидишь на этом сайте и не слышал, ну да ладно. >  что это Cloudflare - одна из крупных компаний, которая оберегает от ддос и прочих неприятостей. opkssh - опенсорс программа которую она сделала, тк у сообщества лапки (кривые). Всякие гитлабы-гуглы-азуры - уважаемые фирмы, которым можно доверить подтверждене подлинности. >  зачем оно нужно Чтобы можно было одной учеткой логиниться в разные сервисы Основная фишка в децентрализации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #43, #63, #112

36. Сообщение от anonymous (??), 26-Мрт-25, 17:00	+/–
Есть же расширение x509 - чем оно не устроило?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #66

37. Сообщение от 1 (??), 26-Мрт-25, 17:00	+/–
а вот с этого места поподробней
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #90

38. Сообщение от 1 (??), 26-Мрт-25, 17:02	+/–
а что шифрование дисков отменили?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

39. Сообщение от Аноним (137), 26-Мрт-25, 17:09	+/–
Ну пока у тебя один локалхост, то действительно не нужно это всё, можно «штатными средствами» обойтись. А где хост не локал и их сильно больше одного, там и OpenID уже развёрнут и работает. Да хоть тот же AD, например.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #55, #72

40. Сообщение от Аноним (43), 26-Мрт-25, 17:10	+3 +/–
>При помощи opkssh можно избавиться от ручной работы по управлению и настройке SSH-ключей, а также организовать подключение к серверу с любых хостов, без необходимости создания закрытых ключей на каждом клиентском компьютере и без ручного копирования открытых ключей на сервер. - Вы, чего, и пальцы за меня загибать будете? - Ага!
Ответить | Правка | Наверх | Cообщить модератору

41. Сообщение от Аноним (137), 26-Мрт-25, 17:11	+1 +/–
Очень даже различают, и именно потому, что время AI стоит слишком дорого, чтобы тратить его на подкроватные хосты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

42. Сообщение от Аноним (-), 26-Мрт-25, 17:19	+/–
Ну во первых не OpenID,  а OpenIDC, т.е. последняя буква Connect. Действительно секьюрный протокол, но вот это: >> Opkssh совместим с OpenID-провайдерами Google, Microsoft/Azure и Gitlab, что позволяет настроить вход через имеющиеся учётные записи в сервисах gmail.com, microsoft.com и gitlab.com. Позволяет "технической поддержке" этих компаний получать доступ к тем компьютерам где это настроено. И как это отличается от Auth0 который много лет назад создан? Ну разве что доступ к ssh из коробки они не делали. Это было бы актуально лет 10 назад, когда политика американцев не была ясна. А сейчас когда запад поддерживает ради своих меркантильных интересов различных радикалов и политику санкций - все равно что преступников себе в дом пригласить. Поздравляем запад что они сделали такую безопасную штуку которая товарищу майору доставляет неограниченные возможности для их компьютеров разных компаний. Помню комментарии на этот счёт - мне кажется эксперты opennet своего товарища и близко не хотят подпускать
Ответить | Правка | Наверх | Cообщить модератору

43. Сообщение от Аноним (43), 26-Мрт-25, 17:20	+3 +/–
>Чтобы можно было одной учеткой логиниться в разные сервисы Тебя в детстве не учили не использовать одну учетку для разных сервисов? Нельзя складывать все яйца в одну корзину.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #127, #148

44. Сообщение от Аноним (-), 26-Мрт-25, 17:27    Скрыто ботом-модератором	–3 +/–
Для безопасности американцев. Есть такая сфера сейчас очень популярная - кибербезопасность. Так вот эти популяризируемые американские компании хотят отвечать за вход и удобство входа на твой компьютер. Взамен они получают возможности контроля киберпространства. Т.е. в этом прямо заинтересовано их Министерство Обороны. Т.е. это им позволяет хакеров ловить, шпионов (хотя для кого-то разведчиков), быстро подавлять ботнеты. А это уже в ближайшей перспективе конец вебу, потому что ботнеты они и будут делать - кто не с ними, тот останется без интернета. Как-то так.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

45. Сообщение от Аноним (59), 26-Мрт-25, 17:30	+1 +/–
Как подчинить хомячков? Создать необходимо-безопасную среду и предложить помощь в централизованном хранение средств аутентификации.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #58

48. Сообщение от Аноним (137), 26-Мрт-25, 17:48	+/–
> в чьей юрисдикции этот OpenID В той же самой, в чьей IP, SMTP, HTTP, BGP и прочие. Да и в целом, проблемы с юрисдикцией — это какой-то локальный мем. Подавляющее большинство людей на планете о такой проблеме узнают из новостей про очередной виток эскалации конфликта стран-террористов с цивилизованным миром. Что ж теперь, из-за каких-то отщепенцев годной технологией не пользоваться?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #59, #61

49. Сообщение от Аноним (59), 26-Мрт-25, 17:55	+6 +/–
На картинках надо рисовать не Алису, а Буратино, ищущий путь в страну дураков.
Ответить | Правка | Наверх | Cообщить модератору

50. Сообщение от Аноним (137), 26-Мрт-25, 17:59	–2 +/–
Всё с точностью до наоборот: выбрали самый простой и доступный метод, который используется буквально в каждой корпораци уже пятнадцать лет, имеет несколько хороших реализаций, и коммерческих, и даже опенсорсных. Сказки про рабочие станции без браузера оставь эникеям, котрые PoSы настраивают и картриджи трясут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #57, #82

51. Сообщение от Аноним (137), 26-Мрт-25, 18:03	+2 +/–
Тред-перепись админов локалхоста, для которых 2FA — это смс с циферками, OpenID — Гитхаб, интернет — локалка провайдера за cgNAT, а серверов не бывет больше одного, потому под кроватью не помещаются. Алсо, предоставлю OpenID в вашей юрисдикции. Дорого.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #54, #67, #130

52. Сообщение от penetrator (?), 26-Мрт-25, 18:11	+1 +/–
это тонкий или не тонкий троллинг, я не разбираюсь, подскажите, пожалуйста
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

53. Сообщение от пох. (?), 26-Мрт-25, 18:18	–1 +/–
это пока их сотни и тысячи поломанных. А как будут миллионы - мигом научится различать цели повкуснее от тех на которые нечего ИИ переводить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

54. Сообщение от Аноним (59), 26-Мрт-25, 18:24	+/–
А Вы в резюме указываете на скольких хостах(кластерах) и юрлицах админити. Это важно! Не очень хочется компрометировать систему теми кто шляется не знамо где.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #84

55. Сообщение от Аноним (55), 26-Мрт-25, 18:25	+3 +/–
Вы менпейдж OpenSSH вообще читали? Там специально для вас уже давно есть сертификаты и возможность указать ключи как CA. Если кто-то при подключении покажет сертификат, подписанный данным CA, сервер даст залогиниться по заранее не занесённому в сервак ключу. В сертах можно и время действия настроить, и разрешения повесить. Сабж же просто паразитирует на уже существующей инфраструктуре, пытаясь пропихнуть какую-то мутную схему хранения ключей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #70, #71

56. Сообщение от Аноним (-), 26-Мрт-25, 18:28    Скрыто ботом-модератором	–2 +/–
p.s. сейчас вместо веба предлагают замену через ИИ, т.е. ЧатГоПыТы заменят вам все чем вы раньше пользовались. Так по крайней мере пишут в LinkedIn, но я думаю это их влажные мечты пока. Они там и разработчиков пишут что заменят также как и дизайнеров. Хотя я лично предпочитаю художество людей, а не роботов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

57. Сообщение от Аноним (59), 26-Мрт-25, 18:28	+/–
>Сказки про То же оставьте при себе, незнакомый человек.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

58. Сообщение от Аноним (-), 26-Мрт-25, 18:29	+/–
А в случае чего вас просто отключат. Удобно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

59. Сообщение от Аноним (59), 26-Мрт-25, 18:30	–2 +/–
Да вы просто апологет глобальных добрых волшебников.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

60. Сообщение от Аноним (55), 26-Мрт-25, 18:31	+/–
Есть: - Сертификаты SSH, с возможностью указать время действия подписанного ключа. И настраивается банальным закидыванием в сервак одного паблика CA в указанный файл (либо в authorized_keys с опцией). - Хост вместо локального хранения пабликов может исполнять команду для получения списка ключей из stdout. Команда же, в свою очередь, может быть хоть curl-ом на другой хост, куда доступы нужны другие. - Можно прописать прям в authorized_keys, до какого срока ключ будет действительным.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #80

61. Сообщение от Аноним (59), 26-Мрт-25, 18:31	+/–
До вас мир был плохим. Вы построите новую цивилизацию
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #151

62. Сообщение от Аноним (-), 26-Мрт-25, 18:35    Скрыто ботом-модератором	+1 +/–
p.s.s. можете это не читать на самом деле - все это теория заговора, но мне кажется она вполне последовательна и реалистична, потому что если кому-то очень нужно будет зайти на ваш компьютер из важных американцев, а за вход отвечает их компания, то это вполне технически реально. Вы даже об этом и не узнаете. А если и узнаете, то всегда можно сослаться на технические работы по обеспечению безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #103

63. Сообщение от Аноним (55), 26-Мрт-25, 18:36	+1 +/–
Отдавать логин какому-то хосту (ещё и не в твоей кладовке) вместо того, чтобы делать это локально - это противоположность децентрализации. Что вы имели ввиду вообще?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #141

64. Сообщение от Аноним (55), 26-Мрт-25, 18:37	+1 +/–
Они, походу, именно этот механизм и используют. Только ты ещё и логинится на гитхабе должен, перед тем как на сервер попадёшь. Крута, дыа? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

65. Сообщение от User (??), 26-Мрт-25, 18:40	–1 +/–
Ну в общем "да", но есть нюанс в виде отсутствия opensource'ного решения как для сервера, так и для клиента (Как-то же этот ключик должен попасть тебе в ssh-agent, да?). Если не ошибаюсь, решение были вот у hashicorp и 1password - но у них ты авторизуешься та-дааам! По OIDC.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #68

66. Сообщение от User (??), 26-Мрт-25, 18:42	+/–
Так это у Тео надо спрашивать, какого моржового он свою ни с чем не совместимую реализацию PKI запилил. Не то, чтобы в стандартном x509 было дофига чего хорошего, н-но...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

67. Сообщение от User (??), 26-Мрт-25, 18:48	+2 +/–
Ну, вот конкретно с ЭТИХ станется захардкодить перечень ДОВЕРЕННЫХ провайдеров, да еще и какое-нибудь ниочень стандартное расширение протокола вклеить )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #86

68. Сообщение от Аноним (55), 26-Мрт-25, 18:48	+1 +/–
ssh-keygen опенсорсный и идёт в комплекте с openssh. Чушь какую-то несёте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #74

69. Сообщение от Аноним (69), 26-Мрт-25, 18:50	+/–
Кстати о Jia Tan: https://github.com/lkrg-org/lkrg/commit/7e37eb1bc37b68ed4eec...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

70. Сообщение от User (??), 26-Мрт-25, 18:53	–1 +/–
Угу. Вот только решения, способного налету проводить аутентификацию пользователя, выписывать ему этот самый short-lived сертификат и добавлять ключик в ssh-агент у них нет. У всяких hashicorp с 1password есть, а у этих уот - нёма. И написать за столько лет - лапки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #75, #122

71. Сообщение от Аноним (137), 26-Мрт-25, 18:53	+/–
> давно есть сертификаты и возможность указать ключи как CA Есть, есть, и пользуемся давно. И всё равно нужен костыль чтобы выдавать сертификаты ключам, и его надо как-то ещё отдельно обкостылить чтобы работал через корпоративный SSO, и пошло-поехало. StepCA немного облегчает жизнь, но не настолько, чтобы писать об этом родителям. Сабж предлагает универсальное решение без самописанных костылей. Для меня это большой плюс, к тому же Клаудфлер наш вендор уже четыре года как и только положительные впечатления, Деллу, Cisco и Juniper поучиться бы у них клиентов облизывать (держу в курсе). Какие-то минусы от выбрасывания наших неповторимых костылей будут? > паразитирует на уже существующей инфраструктуре Рыдаю с этого. Я так понимаю, ты сам собственный интернет построил, свои микрухи в духовке выпекаешь, и весь софт тоже сам написал, чтобы не паразитировать. Молодец, завидую твоей фантазии.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #73

72. Сообщение от User (??), 26-Мрт-25, 18:56	+/–
Ну вот конкретно если у вас есть AD - то проще не через ADFS вот это всё на лыжах-в-гамаке, а расширить схему кастомным аттрибутом, запихнуть тудой ssh-ключик и горя не знать. А вот если вы в а-аааблааааках-бела-гриии-иивых-лоша...дках тады и впрямь проще что-то уот такое уот запилить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #76

73. Сообщение от User (??), 26-Мрт-25, 18:57	+/–
О, кстати про StepCA-то я и не вспомнил - а ведь видел, видел же!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

74. Сообщение от User (??), 26-Мрт-25, 18:58	+/–
> ssh-keygen опенсорсный и идёт в комплекте с openssh. Чушь какую-то несёте. Удачи, сынок - запилишь аналоговнету - приноси на opennet, посмеемся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

75. Сообщение от Аноним (137), 26-Мрт-25, 19:01	+/–
Step и StepCA есть, но они всё равно требуют костылей для интеграции с SSO. А без SSO это всё не особо надо: ключи можно и скриптом раскидать, а юзерам выдать юбикеи, чтобы пароли у ключей не удаляли. IT-отдел только будет недоволен: заниматься менеджментом юсб-свистульки размером с ноготь та ещё обезьянья работа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #77

76. Сообщение от Аноним (137), 26-Мрт-25, 19:05	+/–
Пихать ключик куда угодно значит, что его кто-то должен сгенерировать, не потерять, не сделать его беспарольным, и не отправить по неосторожности вместо публичного ключа кому-нибудь. Если других способов нет, то и этот сойдёт, но это ничем не лучше скрипта дёргающего rsync по сути. Ну может админу маргинально удобнее, и только.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #78

77. Сообщение от User (??), 26-Мрт-25, 19:08	+/–
> Step и StepCA есть, но они всё равно требуют костылей для интеграции > с SSO. А без SSO это всё не особо надо: ключи > можно и скриптом раскидать, а юзерам выдать юбикеи, чтобы пароли у > ключей не удаляли. IT-отдел только будет недоволен: заниматься менеджментом юсб-свистульки > размером с ноготь та ещё обезьянья работа. Не-не-не, спасибо - я с rutoken'ами для шифрования жестких дисков ноутбуков напрыгался, "эмпирический опыт"(тм) говорит, что оно мне не надь под тираж.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #88

78. Сообщение от User (??), 26-Мрт-25, 19:11	+/–
> Пихать ключик куда угодно значит, что его кто-то должен сгенерировать, не потерять, > не сделать его беспарольным, и не отправить по неосторожности вместо публичного > ключа кому-нибудь. Если других способов нет, то и этот сойдёт, но > это ничем не лучше скрипта дёргающего rsync по сути. Ну может > админу маргинально удобнее, и только. Не-не-не. Тут не начальный деплой решается, а проблема расползания ключа по n-серверам с фактической невозможностью отзыва при увольнении или там отпуске.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #91

79. Сообщение от anba (?), 26-Мрт-25, 19:15	+/–
https://www.keycloak.org/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

80. Сообщение от Аноним (137), 26-Мрт-25, 19:22	–2 +/–
> Сертификаты SSH, с возможностью указать время действия подписанного ключа Для контекста: время жизни ключа для прода — 10 минут. Стейдж — 1 час. Дев — 8 часов. Это всё для интерактивных сессий. Для автоматизации время жизни всех ключей без исключения — 2 минуты. > Можно прописать прям в authorized_keys, до какого срока ключ будет действительным. Начинай прописывать вон то выше. Правда, чтобы что-то записать в прод надо сперва туда как-то попасть, и сделать доступным для записи что-то подходящее, а таких мест в проде нет by design.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

81. Сообщение от bonifatium (?), 26-Мрт-25, 19:22	–1 +/–
вас не смущает, что OpenID и OpenID Connect - это две разные вещи?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #94

82. Сообщение от bonifatium (?), 26-Мрт-25, 19:28	+/–
там даже базовым rfc едва 10 лет исполнилось, а уж про 15 лет это и вовсе сказки
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #92

84. Сообщение от Аноним (137), 26-Мрт-25, 19:36	–2 +/–
Последние десять лет работу нахожу строго через личные рекомендации. В резюме у меня два параграфа, в первом написано что я могу сделать для вашего бизнеса, во втором — «райдер». CTO и топ-менеджменту пофиг на то, какими языками программирования и фреймворками ты владеешь. Внезапно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #107

85. Сообщение от Анонизм (?), 26-Мрт-25, 19:36	+/–
Как сомнительную? А вы о товарище майоре не подумали, который за нашу с вами безопасность борется? Ещё один способ для него, чтобы получить доступ к серверу...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

86. Сообщение от Аноним (137), 26-Мрт-25, 19:41	–2 +/–
Для кого ЭТИХ? Cloudflare как раз топит за стандартизацию и культивирует у себя инженерную культуру. Приходилось плотно работать с их стафффом, всё чётко, в срок, и на слабые места в ТЗ со старта указали, сразу с возможными вариантами решений. Мне бы таких орлов, я бы за два года с нижнего уровня менеджмента на средний переехал не особо напрягаясь. А у админов локалхоста лапки, они ничего никуда не могут захардкодить по определению.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #95

87. Сообщение от Аноним (129), 26-Мрт-25, 19:42	+/–
Скажите, а разметить гидранты доступом к серверу или получить отказ по причине потому что нельзя можно будет? Если да, то это прямо как на десктопах и я обоими руками за такие нововведения от CloudFlare.
Ответить | Правка | Наверх | Cообщить модератору

88. Сообщение от Аноним (137), 26-Мрт-25, 19:48	+/–
У нас примерно 2000 человек по всему миру юбикеями пользуется каждый день для доступа к инфре, и большинство совсем не админы — девелоперы разной стадии развития. Вообще неплохо, но люди как-то умудряются эти ключи периодически терять и ломать. IT-отдел иногда ноет от этого, но альтернативные варианты их не устроили ещё больше. Рутокены, возможно, просто как продукт так себе. Свистульку в юсб сунуть это только треть всей истории. Сервис вокруг свистульки нужен, и, главное, доверие вендору, что вообще не решается техническими способами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #93

89. Сообщение от Bob (??), 26-Мрт-25, 19:50	–2 +/–
Если рабочие - многие и так там. Azure. Для личных можно всё нормально настроить: ключик, ip, mac и т.п.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

90. Сообщение от Аноним (11), 26-Мрт-25, 19:56	–1 +/–
Погуглите, почему многие компании прекратили саппорт продукта в 2018-ом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

91. Сообщение от Аноним (137), 26-Мрт-25, 19:59	+/–
Сегодня у нас работает так: SSH CA, выдача сертификата на ключ из yubikey, и всё это при условии что ты залогинен через корпоративный SSO и либо сидишь в офисном ЛАНе, либо подключен через VPN с аттестацией. Естественно, никаких BYOD. Можно только телефон, только с одобрения ИБ (всякие китаефоны забанены полностью, не пускает даже в гостевой вайфай пока mac не сменишь), только не рутованный, и только если согласишься поставить intelligent hub, и даже в этом случае кроме календаря, почты и слака ничего не доступно. Корпоративный стандарт рабочего места — последняя средняя модель макбука с jamчто-то там, корпоративным профилем и еженедельным сканами на предмет токенов в текстовых файлах и подобного палева.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #99

92. Сообщение от Аноним (137), 26-Мрт-25, 20:01	+/–
OpenID был опубликован 18 лет назад. Что там кому не исполнилось?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

93. Сообщение от User (??), 26-Мрт-25, 20:07	+1 +/–
> У нас примерно 2000 человек по всему миру юбикеями пользуется каждый день > для доступа к инфре, и большинство совсем не админы — девелоперы > разной стадии развития. Вообще неплохо, но люди как-то умудряются эти ключи > периодически терять и ломать. IT-отдел иногда ноет от этого, но альтернативные > варианты их не устроили ещё больше. Рутокены, возможно, просто как продукт > так себе. Свистульку в юсб сунуть это только треть всей истории. > Сервис вокруг свистульки нужен, и, главное, доверие вендору, что вообще не > решается техническими способами. Ну, у меня 1000+ было - и это был ад на всех стадиях, от рассчета фактической потребности через бюджетирование (И нет, в 2016 обосновать, что ЭТО - расходка у меня не получилось) к деплою (Крипто-прошный УЦ, м-мммм!) и в эксплуатацию... Теряли, ломали, сжигали, забывали пин-код, менялись (!) и черте-что еще. А так, как ноуты в то время частенько выдавали под командировки - звиздюли были ЭПИЧЕСКИЕ
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #136

94. Сообщение от Аноним (11), 26-Мрт-25, 20:08	–1 +/–
Твой вопрос звучит так же нелепо, как "Linux и Linux 6.14 - это две разные вещи". OpenID Connect - это третье поколение стандарта OpenID.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #115

95. Сообщение от User (??), 26-Мрт-25, 20:10	+/–
> Для кого ЭТИХ? Cloudflare как раз топит за стандартизацию и культивирует у > себя инженерную культуру. Приходилось плотно работать с их стафффом, всё чётко, > в срок, и на слабые места в ТЗ со старта указали, > сразу с возможными вариантами решений. Мне бы таких орлов, я бы > за два года с нижнего уровня менеджмента на средний переехал не > особо напрягаясь. А у админов локалхоста лапки, они ничего никуда не > могут захардкодить по определению. Ну, вот ЭТИХ - тех, которые: https://github.com/cloudflare/boringtun Не знаю, что у них там со стафффом, а вот опенсорц у ребят... своеобразный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86 Ответы: #119, #132

96. Сообщение от Bob (??), 26-Мрт-25, 20:12	–1 +/–
Если настолько взломают Гугл, Майкрософт, Amazon и прочих, то OpenID будет чуть ли не на последнем месте. А понял ты не правильно. Там всё шифровано как минимум твоим паролем. Можно добавить ключь свой (или кодовую фразу) и 2FA. Без этого не расшифруют. На счёт "продажен" - для юрисдикций нормальных людей прециденты были? И, в целом, технология больше для мега энтерпрайза или у кого ничего важного нет, но хочется удобства.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #125

97. Сообщение от Bob (??), 26-Мрт-25, 20:17	–1 +/–
Так тебя хостер и так сдаст с потрохами)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

98. Сообщение от Krtek (?), 26-Мрт-25, 20:20	+/–
Зачем вообще нужен сервер, если данные можно и нужно хранить в картотеке под бдительным присмотром тёти Зины? Так гораздо надёжнее и это не сарказм.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #123, #147

99. Сообщение от User (??), 26-Мрт-25, 20:39	+/–
> Сегодня у нас работает так: SSH CA, выдача сертификата на ключ из > yubikey, и всё это при условии что ты залогинен через корпоративный > SSO и либо сидишь в офисном ЛАНе, либо подключен через VPN > с аттестацией. Естественно, никаких BYOD. Можно только телефон, только с одобрения > ИБ (всякие китаефоны забанены полностью, не пускает даже в гостевой вайфай > пока mac не сменишь), только не рутованный, и только если согласишься > поставить intelligent hub, и даже в этом случае кроме календаря, почты > и слака ничего не доступно. Корпоративный стандарт рабочего места — последняя > средняя модель макбука с jamчто-то там, корпоративным профилем и еженедельным сканами > на предмет токенов в текстовых файлах и подобного палева. Хорошо быть здоровым, богатым, не ленивым и умным, правда? Мы одно время к такому шли-шли, да так и не дошли - а теперь "не больно-то и хотелось!", увы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #116

100. Сообщение от 12yoexpert (ok), 26-Мрт-25, 20:43	+2 +/–
ненуачо, https они уже выключили для половины интернета
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

101. Сообщение от mumu (ok), 26-Мрт-25, 20:44	–1 +/–
Прикольно. Пусть будет
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #106

103. Сообщение от 12yoexpert (ok), 26-Мрт-25, 20:49	+3 +/–
иди проспись
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

105. Сообщение от Аноним (105), 26-Мрт-25, 20:58	+/–
Очередная потуга вендорлока от очередной мегакорпы. Теперь у них подгорает что кто-то может ssh юзать без их одобрения видимо.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #108

106. Сообщение от Аноним (106), 26-Мрт-25, 21:26	+1 +/–
стеклянный щит, прикольно, пусть будет :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101

107. Сообщение от Аноним (11), 26-Мрт-25, 22:08	+/–
> CTO и топ-менеджменту пофиг Естественно. Им важно, насколько быстро ты тряпкой по машине водишь и не оставляешь ли царапин.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84 Ответы: #118

108. Сообщение от Qqq (?), 26-Мрт-25, 22:54	+/–
Безотносительно «безопасности» решения, о каком вендорлоке идет речь, если они не заставляют использовать себя в качестве OIDC-провайдера?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105 Ответы: #111, #121

109. Сообщение от blkkid (?), 26-Мрт-25, 23:37	+/–
это очень круто, но подходит только разве что подкроватных систем где начинается серьезное разделение прав обязанностей, ротация ключей и прочее, там authorized_keys сдувается и начинается дурдом
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #150

110. Сообщение от anonymous (??), 27-Мрт-25, 00:13	+/–
Больше от Identity Provider-а зависит и того, что он готов выдать твоему сервису. Некоторые аутентификационные флоу вообще позволяют через HOTP или TOTP аутентифицироваться - скачал аутентификатор на телефон, зарегистрировал его и все, управляй доступом одним нажатием. И секурно, и двухфакторка, и удобно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #117, #129

111. Сообщение от Аноним (11), 27-Мрт-25, 00:36	+1 +/–
> они не заставляют Ну да, конечно, каждый админ локалхоста разворачивает у себя свой поисковик, почту, гит, телеграф.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #120, #134

112. Сообщение от Аноним (-), 27-Мрт-25, 01:03	+/–
> Всякие гитлабы-гуглы-азуры - уважаемые фирмы, которым можно доверить подтверждене подлинности. Простите, а чем это они заслужили такое доверие? > Чтобы можно было одной учеткой логиниться в разные сервисы. Основная фишка в децентрализации. Децентрализации? В каком месте? Может вы хотели сказать о централизации входа? Или может хотели рассказать о децентрализации серверов этих самых корпораций? У них она есть и этим они и заманивают доверить им вход - взламывать не будут. Потому что сервера их рассчитнаны на высокие нагрузки и есть возможность юридического воздействия если что. Хмм... кто ж взламывать то будет локалхост используя точно такие же возможности нападения на сервер как у них возможности защиты? Да и зачем?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #143

113. Сообщение от Аноним (-), 27-Мрт-25, 01:12	+/–
> иди проспись И то правда. Все это такие глупости, порой лучше просто промолчать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

114. Сообщение от Neon (??), 27-Мрт-25, 02:12	–1 +/–
Секурно у чужого дяди ?)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #126

115. Сообщение от bonifatium (?), 27-Мрт-25, 02:27	+1 +/–
> Твой вопрос звучит так же нелепо, как "Linux и Linux 6.14 - > это две разные вещи". > OpenID Connect - это третье поколение стандарта OpenID. это твои аналогии звучат нелепо. В треде дан контекст. И в этом контексте есть OpenID, закрытый в 2018 году, что есть gen 1, и есть OpenID Connect, что есть gen 3.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94

116. Сообщение от Аноним (137), 27-Мрт-25, 02:41	+/–
> Хорошо быть здоровым, богатым, не ленивым и умным, правда? Не знаю, но думаю, что неплохо. Сам все четыре одновременно ни разу не пробовал. А последние два по-моему вообще никогда не пробовал. > Мы одно время к такому шли-шли, да так и не дошли - а теперь "не больно-то и хотелось!", увы. Я слышал, что на всё это ушло около пяти лет последовательного труда. В принципе, зная сколько на бэкэнде всего задействовано, верю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99

117. Сообщение от Аноним (137), 27-Мрт-25, 02:45	+/–
Любой более-менее крупный бизнес — сам себе IdP. Если скучно, можешь себе прямо под кроваться IdP развернуть с любым флоу, хоть HOTP, хоть TOTP, хоть за разрешением к маме и бабушке. Коммерческие IdP за деньги сделают что угодно. Но на практике хотя бы попытаются отговорить от совсем уж безумных затей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110

118. Сообщение от Аноним (137), 27-Мрт-25, 02:55	+/–
Если бы ты знал, сколько стоит «быстро тряпкой» для элитных авто уважаемых людей, ты бы наверное сгорел от зависти. Я столько за год не зарабатываю пока. Но есть плюсы: мой менеджер не тычет на совещаниях ни в кого волыной, в компании работают только несудимые, и не надо на улице в жару торчать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107 Ответы: #149

119. Сообщение от Аноним (137), 27-Мрт-25, 02:59	+/–
Так а что не так-то? Я не слежу особо, мне tailscale для локалхостов хватает, а на работе обычный cisco vpn. Они ж его вроде для себя в первую очередь писали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95

120. Сообщение от Аноним (137), 27-Мрт-25, 03:01	+1 +/–
А зачем админу локалхоста что-то кроме одного ключа в ~/.ssh/authorized_keys?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

121. Сообщение от Аноним (-), 27-Мрт-25, 03:47	+2 +/–
> Безотносительно «безопасности» решения, о каком вендорлоке идет речь, если > они не заставляют использовать себя в качестве OIDC-провайдера? Да вы в принцитпе и CDN можете свой поставить. А потом клаудспайварь немного поддосит вас и вам ценничек развлекухи не понравится, и у вас деньги кончатся быстрее чем у них. После чего у вас будет не так уж много выбора :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #145

122. Сообщение от Аноним (55), 27-Мрт-25, 05:00	+/–
Вы серьёзно? Это баш скрипт на пару сотен строк. Вы настолько неуверены в своих способностях сделать что-то настолько простое правильно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #124, #138

123. Сообщение от Аноним (55), 27-Мрт-25, 05:06	+/–
IP пакеты по проводу совсем немного быстрее доставляются, чем ваша задница до картотеки с Тётей Зиной.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #131

124. Сообщение от User (??), 27-Мрт-25, 05:22	+/–
> Вы серьёзно? Это баш скрипт на пару сотен строк. Вы настолько неуверены > в своих способностях сделать что-то настолько простое правильно? А давайте вы его мне напишете, а я вам денег заплачу, М?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122

125. Сообщение от _ (??), 27-Мрт-25, 05:44	+/–
>На счёт "продажен" - для юрисдикций нормальных людей прециденты были? Ты совсем что-ли в коконе? Не раз и не два и в любых "юрисдикциях" включая ваш фетишЪ ... а что? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96

126. Сообщение от Аноним (126), 27-Мрт-25, 07:48	+/–
Почему у чужого? Внутри компании же разворачивается та же freeipa и погнали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114 Ответы: #133

127. Сообщение от Perlovka (ok), 27-Мрт-25, 08:27	+/–
В компаниях, отличных от локалхоста, бывают тысячи пользователей и десятки сервисов. Но хомячкам главное ляпнуть )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #154

129. Сообщение от Аноним (129), 27-Мрт-25, 08:57	+/–
Удобно - это когда ты взял и подключился через openvpn в хуке коннекта интерфейса или сразу в rc.local. Когда для этого приходится доставать телефон, привязывать к этому ещё какое-то приложение, а потом открывать ещё по десять окон корпоративного буллшита и в каждом подобные препоны с аутентификацией и поддержкой логина больше часа - это называется НЕудобно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110 Ответы: #139, #152

130. Сообщение от Аноним (129), 27-Мрт-25, 09:01	+1 +/–
>Алсо, предоставлю OpenID в вашей юрисдикции. >Дорого. Сколько уже купило? Когда купят? Сколько порч на понос выдали благодарные конечные пользователи?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #144

131. Сообщение от Krtek (?), 27-Мрт-25, 09:02	+/–
Ну тогда и не.й ныть про гавёную безопасность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123 Ответы: #140

132. Сообщение от нах. (?), 27-Мрт-25, 09:07	+/–
да все даже лучше чем обычно - выложили какие-то исходники, только они даже не собираются, не говоря уж что не работают, но вон вам бинарнички, скачайте откуда положено и не беспокойтесь. Обычно-то и бинарничков нет - "есть, но только в нашей внутренней инфраструктуре" Там не только про попенсорц, там про общий уровень культуры разработки выводы очевидные напрашиваются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95 Ответы: #146

133. Сообщение от Vasya (??), 27-Мрт-25, 09:28	+/–
На FreeIPA и так можно настроить OpenID по ssh без стороннего ПО.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126 Ответы: #137

134. Сообщение от Аноним (134), 27-Мрт-25, 09:56	+/–
Разве OIDC требует чего-то серьёзнее HTTPS на Let's encrypt, а не DNS туда-обратно, DKIM и отпечаток ануса как e-mail?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

135. Сообщение от Соль земли (?), 27-Мрт-25, 10:59	+/–
То есть пустить к себе Google, Microsoft/Azure и Gitlab. Уж лучше качать скрипты в stdin bash.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #157

136. Сообщение от 1 (??), 27-Мрт-25, 13:26	+/–
> менялись +100500 И 2 чая этому господину. И лучше прописывать в должностной наказание за это -  расстрелом через повешение в туалете !
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93

137. Сообщение от Аноним (137), 27-Мрт-25, 17:08	+/–
А надо наоборот — ssh по openid.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #133

138. Сообщение от Аноним (137), 27-Мрт-25, 17:15	+/–
Баш-скрипт на пару сотен строк без бэкенда на ещё пару тысяч и не на баше в реальной инфраструктуре с реальными пользователями, автоматизацией, легаси, и требованиями регуляторов не заработал почему-то. То ли потому, что жизнь чуточку сложнее, чем фантазии анонима, то ли потому, что сама проблема не такая простая, как кажется на первый взгляд, то ли бог знает ещё почему.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122

139. Сообщение от Аноним (137), 27-Мрт-25, 17:26	+/–
А ещё удобнее просто телнетом без пароля. Никакие хуки не нужны, никакие впны. Лепота!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129

140. Сообщение от Аноним (137), 27-Мрт-25, 17:28	+/–
Точно. Сгорел сарай, гори и хата. Всё либо ничего. Подростковый абсолютизм как жизненное кредо ещё никого не подводил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #131 Ответы: #153

141. Сообщение от Аноним (137), 27-Мрт-25, 17:30	+/–
Отдай хосту в своей кладовке. Что мешает-то? Протоколы открыты и реализации доступны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

142. Сообщение от MinimumProfit (?), 27-Мрт-25, 17:33	+/–
хотя это не имеет никакого значения, уточню: Jian Tan произносится как Дзян Тан.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

143. Сообщение от Аноним (137), 27-Мрт-25, 17:40	+/–
> Простите, а чем это они заслужили такое доверие? Успешным ведением бизнеса, тщательным исполнением местного законодательства, законопослушностью, и тысячами довольных клиентов. Чем ещё по-твоему коммерческая компания может заслужить доверие? > Децентрализации? В каком месте? Может вы хотели сказать о централизации входа? Почти так. Децентрализация сервисов и централизация входа в эти сервисы, с контролем, отчётностью и разделением привелегий, в том числе во внешних сервисах. Какая альтернатива? Каждый сотрудник компании должен купить доступ, скажем, к Lucidchart по своей кредитке, подать заявку в hr для возмещения расходов, не потерять логин и пароль, не расшарить что-то важное с левыми людьми по ошибке или по злому умыслу, так? А потом проделать то же самое с каким-нибудь облачным оператором и всенепременно не забыть передать все логины и пароли другом сотруднику, когда уволится. И так буквально с каждым из нескольких дюжин (если не сотен) внешних сервисов, систем, партнёров и так далее. В принципе неплохо, люблю самостоятельность в людях, но работать они когда будут?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112

144. Сообщение от Аноним (137), 27-Мрт-25, 17:46	+/–
> Сколько уже купило? Нет времени считать, за забором очередь стоит со вчерашнего дня. > Когда купят? Уже покупают. Разлетаются как горячие пирожки. Занимай быстрее, пока не байты не закончились. > Сколько порч на понос выдали благодарные конечные пользователи? По состоянию на 2025-03-27, ровно ноль. Продолжаю вести наблюдение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130

145. Сообщение от Аноним (137), 27-Мрт-25, 17:50	+/–
> клаудспайварь немного поддосит вас Но пруфов как всегда не будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121 Ответы: #156

146. Сообщение от Аноним (137), 27-Мрт-25, 18:15	+/–
> даже не собираются Пох как всегда, даже их чужих исходников собрать не может. А я не поленился и проверил. Собирается на раз, хотя проект два года вообще без движения стоит (это к слову тем, кто вечно ноет что раст слишком быстро развивается и без послезавтрашней ночнушки ничего не работает): $ cargo build --bin boringtun-cli --release […]     Finished `release` profile [optimized] target(s) in 41.59s На винде только ругается, мол: error[E0433]: failed to resolve: could not find `unix` in `os` Что правда, unix в этой os отродясь не было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #132

147. Сообщение от Аноним (147), 27-Мрт-25, 18:56	+/–
> Зачем вообще нужен сервер, если данные можно и нужно хранить в картотеке под бдительным присмотром тёти Зины? Так гораздо надёжнее и это не сарказм. Т.к. новинки индустриализации в конечном счёте оказываются превосходством в грубой силе оружия тоже, кроме прочих достоинств. При отставании в индустриализации теряется способность к защите себя, кроме огромного числа прочих недостатков отказа от изобретений.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

148. Сообщение от Аноним (147), 27-Мрт-25, 19:03	+/–
> Тебя в детстве не учили не использовать одну учетку для разных сервисов? Нельзя складывать все яйца в одну корзину. Как быть уверенным, что в каждый момент времени каждый из тысяч может успешно логинится по сети одновременно в многие разные сервисы. Контекст: за 15 минут полезной работы без ошибок логина эти тысячи пользователей создают очень много полезного и нужного в эквиваленте денег, например. Когда все сервисы оказались в Интернете, а операционная система под сервисами в большинстве, почему-то, случаев на базе GPL софта. Тогда логично, что эти сделали примерно это.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #155

149. Сообщение от Аноним (59), 27-Мрт-25, 19:56	+/–
>мой менеджер не тычет на совещаниях ни в кого волыной, в компании работают только несудимые, и не надо на улице в жару торчать. Это Ваш райдер? Ну не надо уж так откровенно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118 Ответы: #162

150. Сообщение от _ (??), 27-Мрт-25, 19:59	+/–
Но количество дурдома можно (и нужно!) значительно снизить! К примеру OpenSSH server можно неплохо подружить с вашим MS AD. Вход не по ключу, а по паролю, конечно, но ведь в форточку они логинятся? Ну и ... Для мест где вход по ключу таки нужен - ну тут всё ещё кто во что горазд... но тоже есть приемлемые решения. PS: Сабж не щупал, относится он к приемлемым или нет - пока не в курсе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109 Ответы: #161

151. Сообщение от _ (??), 27-Мрт-25, 20:04	+/–
До основанья!, а затем ... (С) Что может пойти не так?! ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

152. Сообщение от _ (??), 27-Мрт-25, 20:08	+/–
> это называется НЕудобно. Дорожный знак на Ыnterprise Шtrasии : <== Удобно =    |    = БезопасТно ==> :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129

153. Сообщение от _ (??), 27-Мрт-25, 20:11	+/–
Ну ачпета всё и держится на True|False и ничего другого уж лет 70 как :) Хотя троичные в СССР делали ... но всё умерло :(
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #140

154. Сообщение от _ (??), 27-Мрт-25, 20:16	+/–
Но правило изложенное выше от их количества никак не зависит. И усли у вас это не так ... :) Ну - "shame to be you!"(C) :-D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127 Ответы: #158

155. Сообщение от _ (??), 27-Мрт-25, 20:18	+/–
SSO - не не слыхал? Правда это к ключам прикручивать НЕ надо, вот прямо не рекомендую, нет вот прямо запрещаю!(С) :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #148 Ответы: #159

156. Сообщение от _ (??), 27-Мрт-25, 21:04	+/–
Поисковики всё ещё работают, бро - попробуй да и обрящешь! :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #145 Ответы: #163

157. Сообщение от _ (??), 27-Мрт-25, 21:04	+/–
МсьЁ знает толк ...(С) :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #135

158. Сообщение от Perlovka (ok), 27-Мрт-25, 23:53	+/–
> Но правило изложенное выше от их количества никак не зависит. И усли > у вас это не так ... :) Ну - "shame to > be you!"(C) :-D Правило, которое ты сам придумал? Ни одна нормальная компания такой херней не страдает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #154

159. Сообщение от Perlovka (ok), 27-Мрт-25, 23:56	+/–
> SSO - не не слыхал? > Правда это к ключам прикручивать НЕ надо, вот прямо не рекомендую, нет > вот прямо запрещаю!(С) :) SSO это буквально одна учетка на все сервисы. Как-то жидко у тебя получается набрасывать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155

161. Сообщение от Аноним (137), 28-Мрт-25, 18:46	+/–
> Вход не по ключу, а по паролю, конечно Сразу отправляется под кровать обратно на локалхост, с которого он сбежал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #150

162. Сообщение от Аноним (137), 28-Мрт-25, 19:00	+/–
> Это Ваш райдер? Да, почти слово в слово. Мне для жизни мало надо, а для успешной работы и того меньше — Эксель, Джира и Слак. > Ну не надо уж так откровенно. Почему же? У меня крайне мало секретов, да и те что есть весьма скучны и банальны. Скрытность считаю пороком.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #149

163. Сообщение от Аноним (137), 28-Мрт-25, 21:21	+/–
Работают и слава богу! Пруфы где. Покажи ссылку хоть на один.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #156

164. Сообщение от Аноним (164), 30-Мрт-25, 14:11	+/–
КФ опен ид провайдера показывает с шильдиком гугла. Их поставщик решений AI?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема