ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: Inet-Admins
Inet-Admins mailing list archive (inet-admins@info.east.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [inet-admins] GUI front-end to some secure file-transfer



> 
> On Thu, Dec 10, 1998 at 16:52 +0000, Vadim Fedukovich wrote:
> > > > По умолчанию SSL не требует сертификатат и личный ключ у клиента.
> > > > А чтобы сделать авторизацию как раз и надо сказать SSL-серверу или
> > > > stunnel чтобы требовал представить сертификат и продемонстрировать
> > > 
> > > Да, это только шифрующий туннель.
> > 
> > Конечно, по крайней мере версия 2.0a каторую я смотрел. Но одна 
> > добавленная туда строчка заставляет stunnel требовать сертификаты 
> > пользователей. А SSL без сертификата пользователя аутентификации 
> > не дает никакой.
> 
> А ты не пробовал эту строчку посылать автору, чтобы он
> дополнительную опцию сделал для stunnel?

Нет, не отправлял. Наверно, надо было сразу просто возмутится что stunnel НЕ
обеспечивает аутентификацию. Врядли аутентификация на уровне тунеля
кого-нибудь интересует; это дело приложений. Ну а если все-таки надо, то

int verify = SSL_VERIFY_PEER|SSL_VERIFY_FAIL_IF_NO_PEER_CERT|
 SSL_VERIFY_CLIENT_ONCE;
SSL_CTX_set_verify(,verify,);

> > > > знание личного ключа. Ну, а авторизацию сделать по содержимому
> > > > сертификата.
> > > 
> > > А не проще пропускать только клиентов с валидными сертификатами?
> > 
> > Валидный сертификат обеспечит только аутентификацию; тогда для
> > авторизации нужны дополнительные списки; текстовые файлы или ldap
> > сервер. Если так не хочется, тогда все должно быть в сертификате
> > и должен быть анализ его содержимого. Если конечно делается система
> > в которой разным группам пользователей доступны разные сервисы.
> 
> stunnel призван быть универсальным, а так вся идея ломается.
> Или я чего не понял?

приложение (не тунель) аутентифицирует пользователя, само или получает
какие-либо hint'ы, например от kerberos или других баз пользователей.
Netscape проталкивает решения с ldap сервером где хранятся права
пользователей на доступ к сервисам. Только вот сервисам надо бы уметь
общаться со slapd вместо чтения /etc/passwd, /etc/group. Прямая
аналогия с name server.

> Вообше, можно, наверно, сделать так, как в tcpd'ешных hosts.deny
> и hosts.allow, только вместо адресов сертификаты.

Вот как раз и делается попытка уйти от хранения списков прав (например
/etc/group) на каждой машине к базе, одной на весь site.

Вадим Федюкович
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html



 




Copyright © Lexa Software, 1996-2009.