Вход на хостинг
IT-новости
20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла
Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......
30.07.2015 Ищем уникальный контент для сайта
Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......
Заключение
Еще несколько слов о совместимости различных версий Kerberos. Как вы могли только что убедиться, билетики, получаемые от сервера Heimdal, работают во всех версиях клиентов Kerberos (Microsoft, MIT, Heimdal). То же самое верно, если бы в качестве сервера использовался KDC от MIT. Пример же использования библиотеки MIT-Kerberos в домене Windows 2000 c Active Directory, где реализован сервер Kerberos от Microsoft, разобран в статье [7]. Так что на уровне протокола совместимость между реализациями удовлетворительная. В то же время на уровне API совместимость даже между Heimdal и MIT Kerberos оставляет желать лучшего.
Для того чтобы приложение (клиент или сервер) могло использовать Kerberos, соответствующая поддержка должна быть заложена в код программы. Реализация протокола Kerberos c нуля сложна, поэтому, как правило, приложение использует динамические библиотеки Kerberos. Реализации от MIT пользуется большей популярностью, поэтому, скорее всего, интересующее вас приложение будет использовать именно ее библиотеки. При этом поддержка Heimdal тоже может быть реализована авторами программы. Хотя заголовки функций Heimdal практически повторяют функции MIT-Kerberos, но структуры данных существенно различны. Поэтому перелинковка приложения, разработанного под MIT Kerberos c библиотеками Heimdal, даже если у вас получится это проделать, скорее всего, приведет к некорректной работе приложения. Таким образом, модификация кода приложения, пусть и небольшая, неизбежна в любом случае.
Это замечание особенно актуально для Windows. Многие керберизованные приложения, разработанные под UNIX-системы, можно использовать в Windows в среде Cygwin, поскольку для авторов портирование под Cygwin дается легче, чем перелицовывание программы под полноценное Windows-приложение. Единственная реализация Kerberos, доступная для такого рода программ, – это Heimdal, и вам следует убедиться, что интересующее вас приложение поддерживает Heimdal. Удивительно, хотя MIT-Kerberos и разрабатывается под UNIX-системы, но в Cygwin-окружении он неработоспособен.
Исключением является ситуация, когда приложение использует Kerberos не напрямую, а через интерфейс GSSAPI. Примером такого приложения является ftp из дистрибутива Heimdal. GSSAPI (Generic Security Service Application Program Interface) – это интерфейс, обеспечивающий стандартизованный доступ к функциям аутентификации Kerberos. Как MIT-Kerberos, так и Heimdal предлагают свои реализации GSSAPI, поэтому в данном случае обе библиотеки оказываются полностью взаимозаменямыми.
На этом установку Kerberos в гетерогенной сети можно считать завершенной. В итоге вы можете управлять регистрационной информацией пользователей из одного места (сервера kdc). Ваши пользователи получают регистрацию в секторе Kerberos при входе на свои рабочие станции, прозрачный доступ к компьютерам внутри сети с помощью команд telnet и rsh, удаленный доступ к файлам при помощи ftp и rcp, шифрованный канал доступа к X-серверам. Разумеется, количество керберизованных сервисов не ограничивается только службами из состава Heimdal, но установка и конфигурирование других сервисов требует отдельного обсуждения.
Литература, ссылки: