Kerberos勉強中
なべけん氏を巻き込んで、昔挫折したKerberosを再勉強中。つーか、皆なんでKerberos使わないのよ。
Kerberos導入のメリット
なんとWindows, Mac OS X, Linuxを全てをKerberosで認証統一が可能。ただしWindowsはXPならHomeはダメ(ProfessionalならOK)。
Kerberosに対応したサービス(Kerberized)の例を上げると、ApacheやIIS、ftp, telnet, dovecot、openssh、cupsd、samba、subversion、PostgreSQL、MySQLなど(一部は制約あり)。ちなみにブラウザはInternet Explorerも対応、Firefoxは1.5以降で対応済。Safariは未確認。
IPv6に対応してるのはなべけんが確認済。あー素晴らしいね。
Kerberos導入のデメリット
- そこそこ高い頻度でセキュリティホールが見つかる
- Kerberizedされてないサービスの認証は統合できない
- サービスがKerberizedされててもクライアントが対応してなければ使えない
- 仕組みが複雑で理解しにくい(敷居が高く感じてしまう)
セキュリティホールが見つかるってのはかなり痛いですね。
Kerberizedされてないサービスであっても、PAMに対応していれば(チケットではなくパスワードが共通化されるだけだが)ある程度の恩恵は得られる。
クライアントが対応してないパターンってのはWindowsのクライアントで多い。Kerberosに対応したWindows用のFTPクライアントやSSHクライアントってないんじゃないだろうか(Cygwinは未確認)。
ちなみにSubversionにおいては、TortoiseSVNはKerberosに対応だがsvnは非対応。これはちょっと残念。
仕組みは確かに複雑で専用用語が沢山でてくるので、しっかり理解しないと難しい。でもこれは頑張り次第だ。
今、なべけんのドメインと自分のドメインとでクロスレルム認証をテスト中だがうまくいかん。互いのKDCがmit-krb5とHeimdalだからだろうか。ひきつづき調査中。
Kerberos―Cross‐platform authentication & single‐sign‐on
- 作者: Jason Garman,桑村潤,我妻佳子
- 出版社/メーカー: オライリー・ジャパン
- 発売日: 2004/05
- メディア: 単行本
- 購入: 1人 クリック: 19回
- この商品を含むブログ (7件) を見る
ファームウェアアップデート後のopera:*
不具合発覚により公開中止になったWX320Kのファームウェアを適用してしまったmatsuuですこんにちは。
つーことで、次のファームウェアリリースに備えてopera:*の実行結果をメモ。
opera:*の表示方法
ブックマークでURLを以下のように入力すれば表示できる。
javascript:location.href='opera:about'
これは直接「opera:about」と書くと「無効なURLです」になるため。
opera:about
ファームウェアアップデート前
Nemi 3 Build 4062
ファームウェアアップデート後
Build 4540
Buffer: 32kb
EBO: 3
Buildがあがったのは分かったが、他は意味不明。
opera:cache
以前は謎のヘッダが表示されていたが、メールアドレスと認識され、以前の情報は表示できなくなった。
opera:plugin
前回と同様、「不正なアドレスです」。