Kerberos勉強中
なべけん氏を巻き込んで、昔挫折したKerberosを再勉強中。つーか、皆なんでKerberos使わないのよ。
Kerberos導入のメリット
なんとWindows, Mac OS X, Linuxを全てをKerberosで認証統一が可能。ただしWindowsはXPならHomeはダメ(ProfessionalならOK)。
Kerberosに対応したサービス(Kerberized)の例を上げると、ApacheやIIS、ftp, telnet, dovecot、openssh、cupsd、samba、subversion、PostgreSQL、MySQLなど(一部は制約あり)。ちなみにブラウザはInternet Explorerも対応、Firefoxは1.5以降で対応済。Safariは未確認。
IPv6に対応してるのはなべけんが確認済。あー素晴らしいね。
Kerberos導入のデメリット
- そこそこ高い頻度でセキュリティホールが見つかる
- Kerberizedされてないサービスの認証は統合できない
- サービスがKerberizedされててもクライアントが対応してなければ使えない
- 仕組みが複雑で理解しにくい(敷居が高く感じてしまう)
セキュリティホールが見つかるってのはかなり痛いですね。
Kerberizedされてないサービスであっても、PAMに対応していれば(チケットではなくパスワードが共通化されるだけだが)ある程度の恩恵は得られる。
クライアントが対応してないパターンってのはWindowsのクライアントで多い。Kerberosに対応したWindows用のFTPクライアントやSSHクライアントってないんじゃないだろうか(Cygwinは未確認)。
ちなみにSubversionにおいては、TortoiseSVNはKerberosに対応だがsvnは非対応。これはちょっと残念。
仕組みは確かに複雑で専用用語が沢山でてくるので、しっかり理解しないと難しい。でもこれは頑張り次第だ。
今、なべけんのドメインと自分のドメインとでクロスレルム認証をテスト中だがうまくいかん。互いのKDCがmit-krb5とHeimdalだからだろうか。ひきつづき調査中。
Kerberos―Cross‐platform authentication & single‐sign‐on
- 作者: Jason Garman,桑村潤,我妻佳子
- 出版社/メーカー: オライリー・ジャパン
- 発売日: 2004/05
- メディア: 単行本
- 購入: 1人 クリック: 19回
- この商品を含むブログ (7件) を見る