RU/2: Форум. Общение пользователей и разработчиков OS/2 (eCS). : MAC-address


Список сообщений | Написать новое | Ответить на сообщение | Домой Поиск:
Предыдущее сообщение | Следующее сообщение
From : Constantin
To : Andy A. Porro
Subj : MAC-address
А ты к SSL не примерялся? В твоем случае, IMHO, то что доктор прописал. Попробую обосновать.

> > > Замечание Е.Кулешова (про подпись) не подходит.
ЗЫ. SSL содержит ЭЦП

> Итак. Есть прокси сервер, хочется пропускать пользователей только к определенным ресурсам, причем разных пользователей - к разным ресурсам.
Базовая аутентификация не катит, так как требует вести еще одну базу паролей и имен, кроме того это для пользователя гемморойно, каждый раз вводить имя.

Раз прокси, то, видимо, РАЗНЫЕ сети? А аутентификафия общая?!! Нелогично.

>Поэтому хочется сделать модуль прозрачной авторизации (по возможности не привязываясь к платформе). Ведь пользователь уже зарегистрирован в сети ? И существует совершенно однозначное соответствие между его именем и адресом станции за которой он работает (многопользовательские системы пока опускаем, для них есть свое решение) ?

SSL обеспечивает прозрачную, независимую от платформы аутентификацию, прокси, fw - по барабану, для SSL они сами прозрачны.

>Прокси-сервер из запроса может выяснить IP-адрес пользователя. Соответственно в любой сети (os/2, Windows, Novell, Unix) можно выяснить какой пользователь за какой машиной работает.

IMHO привязка к IP/MAC при доступе к конф.данным - дыра в безопасности. IP подменить и школьник сможет, а про MAC ты сам сказал. Да и аутентификация по login+password (в открытом виде через сеть) - еще большая дыра.
Пример грамотного решения - в Notes. А его аналог среди открытых стандартов - SSL

Mon 03 Dec 2001 18:39 Mozilla/4.61 [ru] (OS/2; I)



Programmed by Dmitri Maximovich, Dmitry I. Platonoff, Eugen Kuleshov.
25.09.99 (c) 1999, RU/2. All rights reserved.
Rewritten by Dmitry Ban. All rights ignored.