Исходное сообщение
"Aутентификация Squid+Kerberos c LDAP авторизацией в Active D..." Отправлено User294, 19-Авг-08 04:40
>делайте привязку по MAC/IP/Ident. У таких решений проблемы с масштабированием и юзабельностью.Вот вы не лопните это настраивать для 10 000 машин раскиданых по всей планете?А если надо доступ ремотных сотрудников по VPN?Что, начинаем всасывать?А если доступ сотрудника из дома или ремотного офиса?С другой машины?Ы?В AD в этом плане просто - есть юзер, у него один логин и пароль которые годны для всего что доверяет данным контроллерам домена авторизацию.Есть удобное управление этим зоопарком.С какой именно машины юзер произведет логин вообще по барабану - набор прав и авторизация привязаны только к персоналии юзера.Собственно потому это и юзают. А чтобы *все* приложения на основе именно этих данных аутентифицировали юзера и решали какие ему права можно?Да и MAC и IP как бы спуфнуть можно.Хапнув практически нахаляву чьи-то неслабые права.А при нужде "вон ту машину" отдать в другой отдел или другому сотруднику - упс... геморройчик с перераздачей прав обеспечен. AD... нет, было бы желание а при физическом доступе к машине уж как минимум локально выполняемые политики и прочий шыт можно и заоверрайдить внаглую при наличии умений да и на некоторые ограничения будучи локальным админом можно в принципе с прибором положить.А pwned DC разумеется означает что pwned потенциально и вообще все что этому DC доверяло в плане авторизации.Тем не менее, с точки зрения сетевых дел довольно непозорный протокол керберос супротив ламерской привязки по MAC & IP от дебилов - разница однако. > Централизация - это не всегда хорошо. For sure. Если вы видите красивого огромного колосса, не забывайте все-таки о том что ноги у него все-таки из глины.AD в этом плане традиций не нарушило.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>делайте привязку по MAC/IP/Ident. > У таких решений проблемы с масштабированием и юзабельностью.Вот вы не лопните это > настраивать для 10 000 машин раскиданых по всей планете?А если надо > доступ ремотных сотрудников по VPN?Что, начинаем всасывать?А если доступ сотрудника из > дома или ремотного офиса?С другой машины?Ы?В AD в этом плане просто > - есть юзер, у него один логин и пароль которые годны > для всего что доверяет данным контроллерам домена авторизацию.Есть удобное управление > этим зоопарком.С какой именно машины юзер произведет логин вообще по барабану > - набор прав и авторизация привязаны только к персоналии юзера.Собственно потому > это и юзают. > А чтобы *все* приложения на основе именно этих данных аутентифицировали юзера и > решали какие ему права можно?Да и MAC и IP как бы > спуфнуть можно.Хапнув практически нахаляву чьи-то неслабые права.А при нужде "вон ту > машину" отдать в другой отдел или другому сотруднику - упс... геморройчик > с перераздачей прав обеспечен. > AD... нет, было бы желание а при физическом доступе к машине уж > как минимум локально выполняемые политики и прочий шыт можно и заоверрайдить > внаглую при наличии умений да и на некоторые ограничения будучи локальным > админом можно в принципе с прибором положить.А pwned DC разумеется означает > что pwned потенциально и вообще все что этому DC доверяло в > плане авторизации.Тем не менее, с точки зрения сетевых дел довольно непозорный > протокол керберос супротив ламерской привязки по MAC & IP от дебилов > - разница однако. >> Централизация - это не всегда хорошо. > For sure. Если вы видите красивого огромного колосса, не забывайте все-таки о > том что ноги у него все-таки из глины.AD в этом плане > традиций не нарушило.
	Введите код, изображенный на картинке: