The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Kerberos поверх LDAP. Чем плохи "TCP Over TCP" туннели.

15.11.2005 21:41

Aleksey Barabanov опубликовал две новые статьи (в PDF формате):

  • "Почему TCP поверх TCP - плохая идея" - перевод документа поясняющего почему не стоит использовать туннели поверх TCP, от автора "PPP over SSH" скрипта и проекта CIPE (Crypto IP Encapsulation);
  • "Настраиваем Kerberos поверх LDAP" - настройка открытой версии Heimdal Kerberos для работы с OpenLDAP в качестве хранилища учетных данных.

    Ранее опубликованные статьи:

  • "Обзор дистрибутива SuSE Professional 9.2";
  • Отрывок рукописи "LDAP и Все-Все-Все";
  • "Обновление SuSE Linux 9.0 до 9.1 с помощью apt";
  • "Модификация дистрибутивных дисков SuSE".

    1. Главная ссылка к новости (http://www.barabanov.ru/arts.h...)
    2. Why TCP Over TCP Is A Bad Idea
    3. OpenNews: Черновой вариант книги про LDAP в Linux
    Лицензия: CC-BY
    Тип: яз. русский / Практикум
    Короткая ссылка: https://opennet.ru/6442-tcp
    Ключевые слова: tcp, tunnel, ppp, ssh, kerberos, ldap
    При перепечатке указание ссылки на opennet.ru обязательно
    Обсуждение (11) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, toor99 (??), 23:57, 15/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Промптом переводил? Так вы бы хоть вычитывали после него. Что такое, например, "каждая повторная передача просто будет добавлять к проблеме - внутреннему meltdown эффекту"? Или просто сами не поняли, о чём речь? Или вот "Когда соединение верхнего слоя стартует быстро, его таймеры быстрые тоже". Такое впечатление, что русский язык вам не родной.
    Conclusion: читайте по-английски, а такие переводы - в печку.
     
  • 1.2, ram_scan (?), 07:33, 16/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И анонс к статье через одно место написан =( Я его истолковал как "почему нельзя использовать TCP туннели и CIPE заодно", хотя CIPE именно этими характерными засадами как раз не страдает и на каналах с потерями показывал себя очень достойно.
     
  • 1.3, buzi (ok), 10:20, 16/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    про kerberos over ldap... в статье автор говорит о работе через локальный сокет... однако встречаются примеры запросов к лдапу не через сокет.. а через ldap://localhost...путаница для некоторых может возникнуть однако..
     
  • 1.4, buzi (ok), 10:23, 16/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ну и update_anon это тоже... ужас..
     
  • 1.5, buzi (ok), 10:32, 16/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ещё добавлю... видимо автор ставит креберос ещё и на машине которая смотрит в интернет... "5 баллов"..
     
     
  • 2.7, pavtor (?), 22:29, 16/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    А что такого ужасного в использовании Kerberos на машине, которая смотрит в инет?
     

  • 1.6, Andrey (??), 16:29, 16/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    За статью спасибо.
    Но вес ее это только для ознакомления, и сам факт что это возможно.
    Давно использую ldap, недавно возникла необходимость в распределенной fs для пары сотен nfs клиентов, так вот практически для всех FS необходим kerberos.
    Далее по статье наезд о оценке профессионализма по ou=KerberosPrincipals необоснован, т.к. он прописывается в krb5.conf, опечатку сделать может любой и то что на эти грабли многие наступили ... неоправдывает.
    Хорошо было бы увидеть именно поднятие kerberos на базу уже _существующего_ ldap, как это упоминается в статье.
    Так я сейчас понял что любые добавления пользователей будут в _другой_отличной_ ветке ou=KerberosPrincipals.
    Непонятен вопрос по синхронизации записей паролей,
    кто всем этим будет заниматься - userPassword, sambaLMPassword, sambaNTPassword еще вот добавляется krb5key
    Про скорость обработки запроса, надо прописывать индексы в ldap и все будет работать приемлемо.

    buzi:
    1. разуй глаза ldap://localhost упоминается только при добавлении записи.
    2. согласен, хотя при настройке с соответствующими правами работать будет.
    3. и что дальше... ? ... будешь ломать?

     
     
  • 2.8, buzi (ok), 10:16, 17/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    1. я заметил что только при добавлении.. но может возникнуть путаница в мыслях у некоторых.. это всё что я имел ввиду
    2. для чего делать соответствующие настройки чтобы разрешить update_anon.. лучше сделать соответствующие настройки чтобы избежать анонимных соединений
    3. таким образом и DC можно на интернет-шлюз ставить.. кто ломать-то будет.. да? 8)

    у меня просто другое мнение 8)

     

  • 1.9, omerm (?), 10:23, 17/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Translation of TCP/TCP article is horrid. The translator should've reviewed his work before posting. The good news is that link the original article was still present in the PDF; this turned out to be the only way to read the article.
     
  • 1.10, Алексей Барабанов (?), 00:34, 18/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ЛЮДИ !!!
    Этот перевод ПОЛУФАБРИКАТ к статье ПОЧЕМУ ЭТО НЕ ТАК.

    Т.е. TCP поверх TCP это НОРМАЛЬНО !

    Автор этого опуса ЧАЙНИК!

    Сейчас напишу в эху тоже самое.

    Обратите внимание в индексе сайта эта статья не проанонсена!

     
     
  • 2.15, Charlie Root (?), 22:03, 19/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Обосрался, так сидел бы уж, и молчал.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру