forum.opennet.ru

"Распределенная авторизация или не только авторизация"

Форум Программирование под UNIX
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

. "Распределенная авторизация или не только авторизация"	+/–
Сообщение от XMan (?), 30-Июл-03, 21:42
Короче. Делается всё элементарно - ищется модуль для системной библиотеки с названием, типа nss-mysql (для постгреса такой есть), ставится в систему, строится на предмет сервера и таблиц и вообще забывается про то, как кто где авторизуется. Серьезный минус только один - нужно заставить PAM при создании пользователя шифровать пароль и засылать его на SQL-сервер. Ручной метод "втупую" - "adduser xxx; passwd xxx", заглядываем в /etc/shadow, берем оттуда пароль, сами запросом втыкаем его в нужную таблицу, "userdel xxx; rm -rf /home/xxx". Плюсы: a) в /etc/passwd, /etc/group и /etc/shadow никаких ссылок на пользователей нет - всё лежит в базе; б) пароли от запрашивающей программы никуда не передаются - от сервера поступает пароль в зашифрованном виде в соответствии с системой, в которой его шифровали (в линухе в последнее время обычно MD5). То есть открытые пароли по сети вообще не бегают; в) данные по соответствию uid/gid символьным именам пользователей и групп доступны любой программе. Если не использовать nss, то половина серверных программ вообще работать не будет. Например, почтовые сервисы; г) имеется масса потенциальных возможностей, которых нет в стандартных средствах nix. Я пол-года назад почти дописал сетевую авторизации со своим протоколом (дабы отвязать клиента от конкретной SQL-базы вообще - к ней привязана только серверная часть) с использованием механизма NSS и базы PostgreSQL. Отлично работал. За основу клинетской части был взят тот самый nss-pgsql и капитально переписан. Сейчас потихоньку переделываю всё это хозяйство - сервер перевел на потоки с порционным созданием в зависимости от нагрузки (аля NetWare), наворотил конфигурацию (в принципе, можно создавать группы в группах, чего нельзя делать стандартными средствами nix), имеется возможность раздавать свои данные разным сервисам (например, зачем команде "ls -l" посылать пароль, если ей нужно только имя пользователя и группы узнать) на разных машинах, имеется возможность кеширования на стороне клиента и на стороне сервера (на случай частых запросов одного и того же; например, "ls -l ~/"). Есть некоторые мысли по поводу защиты от DoS-атак. Еще некоторые улучшения будут. Планирую в ближашие пару месяцев таки добить это дело и пустить в работу на офисе, если времени будет достаточно. А то совсем загрузили фигней всякой :)
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Распределенная авторизация или не только авторизация, ziben, 29-Июл-03, 20:40 [смотреть все]

Отправка данных по TCP send сокет, ссылка_на_данные, размер_данных_в_байтах, фла, XMan, 30-Июл-03, 01:30 (1)
Посылать и получать - send и recv или sendto и recvfrom В манах они хорошо опи, asso, 30-Июл-03, 12:03 (2) //
- Спасибо за ответ Именно так Я уже сделал авторизацию, но потом оказалось что ба, ziben, 30-Июл-03, 12:41 (3) //
  - Поглядел похоже это типа из Агромной пушки по мелкому воробью , ziben, 30-Июл-03, 13:26 (4)
  - Если нужно сделать правильно, то надо что-то вроде Kerberos Популярно о принци, asso, 30-Июл-03, 14:12 (5) //
    - вот именно в этом и есть загвоздка - пока я не пойму КАК организовать вот это п, ziben, 30-Июл-03, 14:28 (6)
      - Не проще ли вместо текстовой БД пользовать нормальную e g Postgres,MySQL С н, konst, 30-Июл-03, 19:09 (7)
        
        Нет, не проще база уже давно работает, переписывать базу - это жуткое дело, ибо, ziben, 30-Июл-03, 20:06 (8)
        
        Короче Делается всё элементарно - ищется модуль для системной библиотеки с назв , XMan, 30-Июл-03, 21:42 (9)
        
        Еще раз уточняю _без_ SQL нужно, база хранится на втором сервере в текстовом фо, ziben, 31-Июл-03, 11:12 (11)
        
        или thttpd да и на перле много демонов написано, webmin, например, йцукенг, 05-Авг-03, 04:46 (12)
        
        хм, webmin нужно поглядеть, ща займусь Хотя уже частично решил проблему, теперь , ziben, 05-Авг-03, 11:46 (13)
        
        ошибка здесь tempper _ n n делай, например, так tempper tempper _ n n , йцукенг, 08-Авг-03, 11:01 (20)
        
        беда не в том, что не накапливался, а в том, что он принципиально не возвращался, ziben, 08-Авг-03, 11:11 (21)
        
        Попробую вырезать из своего демона use IO Socket use strict my client m, Bah, 08-Авг-03, 03:53 (18)
      - Насчет шифрования паролей RFC 2138 - Radius, Gelin, 08-Авг-03, 07:16 (19)
Смотри сюдаhttp www opennet ru openforum vsluhforumID9 1913 htmlТут то что теб, chepil, 31-Июл-03, 07:13 (10) //
- Ты выложи куда-нибуль которая без ошибок , Dima, 05-Авг-03, 12:24 (14) //
  - Что выложить без ошибок , ziben, 05-Авг-03, 12:28 (15) //
    - Да этоо я к chepil обращался Он нарисовал PAM для работы с ORACLE, были у него к, Dima, 05-Авг-03, 14:59 (16)
      - http chepil surgut ru, chepil, 07-Авг-03, 10:18 (17)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру