Существует ли в природе протокол (и его реализация, естессно) типа POP3 / IMAP4, но чтобы
юзера аутентифицировал не по username/pass, а через механизм PKI (сертификат)?
А если еще и сертификаты бы брал в ldap-хранилище, то вообще оргазм :)
Допрос Яндекса и Гугла ничего не дал. Может, плохо спрашивал :)
А механизмы безопасности вроде POP3 over SSL или проверка пароля SPA не устроят?27.05.05 11:02 Автор: HandleX <Александр М.> Статус: The Elderman
Там все равно юзера по паролю аутентифицируют, и все пляски только вокруг защиты этого пароля при передаче.
А идея в том, чтобы паролей у юзеров не было вообще и аутентификация шла при помощи 3-way handshake...
exchange27.05.05 14:53 Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
> с аутентификацией по сертификату AD > > Минус - нужен VPN или здоровенная дырка в фаерволе Переход на домен будет (собсно, там и будут сертификаты), так что это не проблема. Но эксчейндж не хотелось бы, ибо уж больно "вещь в себе". Есть желание оставить почтовик на юниксе, только аутентификацию с паролей на сертификаты увести.
"Вещь в себе " все равно будет30.05.05 12:56 Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
Потому что афаик ни в POP3 ни в IMAP4 не предусмотрено логина по сертификату. То есть тебе придётся использовать модифицированную пару Сервер/Клиент работающую либо на екстеншене IMAP либо вообще на чем-то своем. Не нравится Exchange - попробуй LotusNotes, который по дефолту всегда аутентифицируется через PKI. Тоже натрахаешься :))))
В общем - желаю удачи.
"Я вижу свет в конце туннеля!" - "Идиот, это встречный поезд."
Пока решили сделать через керберосные функции домена. Типа,...01.06.05 12:39 Автор: cybervlad <cybervlad> Статус: Elderman
> Потому что афаик ни в POP3 ни в IMAP4 не предусмотрено > логина по сертификату. То есть тебе придётся использовать > модифицированную пару Сервер/Клиент работающую либо на > екстеншене IMAP либо вообще на чем-то своем. Не нравится > Exchange - попробуй LotusNotes, который по дефолту всегда > аутентифицируется через PKI. Тоже натрахаешься :)))) Пока решили сделать через керберосные функции домена. Типа, в домене аутентифицировался, потом обращаешься к почте, но говоришь, что за тебя "подпишется" домен. И почтовый демон уже с доменом разговаривает...
Что бы не открывать дыру в файрволле можно использовать OWA27.05.05 16:17 Автор: Garick <Yuriy> Статус: Elderman
Чтобы пользовать OWA без запроса пароля и пользователя необходимо быть в домене (Integrated Authentication), иначе все равно спрашивает (либо Basic Authentication либо на страничке при доступе по https) При базовой проверке можно использовать сохранение паролей в браузере, но ведь в любом случае пароль он и остается паролем.
Вот только не знаю может быть возможно использование персональных сертификатов при доступе к OWA по https. (Надо бы проверить только не могу - в отпуске пока).
Я использую OWA через ISA2004 - медленно и остается угроза раскрытия паролей нерадивыми пользователями при пользовании чужими компами.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
