Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | |
Переход на домен будет (собсно, там и будут сертификаты),... 30.05.05 07:35 Число просмотров: 1805
Автор: cybervlad <cybervlad> Статус: Elderman
|
> с аутентификацией по сертификату AD > > Минус - нужен VPN или здоровенная дырка в фаерволе Переход на домен будет (собсно, там и будут сертификаты), так что это не проблема. Но эксчейндж не хотелось бы, ибо уж больно "вещь в себе". Есть желание оставить почтовик на юниксе, только аутентификацию с паролей на сертификаты увести.
|
<sysadmin>
|
Аутентификация на почтовике через сертификат? 27.05.05 09:26
Автор: cybervlad <cybervlad> Статус: Elderman
|
Существует ли в природе протокол (и его реализация, естессно) типа POP3 / IMAP4, но чтобы
юзера аутентифицировал не по username/pass, а через механизм PKI (сертификат)?
А если еще и сертификаты бы брал в ldap-хранилище, то вообще оргазм :)
Допрос Яндекса и Гугла ничего не дал. Может, плохо спрашивал :)
|
|
А механизмы безопасности вроде POP3 over SSL или проверка пароля SPA не устроят? 27.05.05 11:02
Автор: HandleX <Александр М.> Статус: The Elderman
|
|
| |
Там все равно юзера по паролю аутентифицируют, и все пляски... 27.05.05 13:40
Автор: cybervlad <cybervlad> Статус: Elderman
|
Там все равно юзера по паролю аутентифицируют, и все пляски только вокруг защиты этого пароля при передаче.
А идея в том, чтобы паролей у юзеров не было вообще и аутентификация шла при помощи 3-way handshake...
|
| | |
exchange 27.05.05 14:53
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
с аутентификацией по сертификату AD
Минус - нужен VPN или здоровенная дырка в фаерволе
|
| | | |
Переход на домен будет (собсно, там и будут сертификаты),... 30.05.05 07:35
Автор: cybervlad <cybervlad> Статус: Elderman
|
> с аутентификацией по сертификату AD > > Минус - нужен VPN или здоровенная дырка в фаерволе Переход на домен будет (собсно, там и будут сертификаты), так что это не проблема. Но эксчейндж не хотелось бы, ибо уж больно "вещь в себе". Есть желание оставить почтовик на юниксе, только аутентификацию с паролей на сертификаты увести.
|
| | | | |
"Вещь в себе " все равно будет 30.05.05 12:56
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
Потому что афаик ни в POP3 ни в IMAP4 не предусмотрено логина по сертификату. То есть тебе придётся использовать модифицированную пару Сервер/Клиент работающую либо на екстеншене IMAP либо вообще на чем-то своем. Не нравится Exchange - попробуй LotusNotes, который по дефолту всегда аутентифицируется через PKI. Тоже натрахаешься :))))
В общем - желаю удачи.
"Я вижу свет в конце туннеля!" - "Идиот, это встречный поезд."
|
| | | | | |
Пока решили сделать через керберосные функции домена. Типа,... 01.06.05 12:39
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Потому что афаик ни в POP3 ни в IMAP4 не предусмотрено > логина по сертификату. То есть тебе придётся использовать > модифицированную пару Сервер/Клиент работающую либо на > екстеншене IMAP либо вообще на чем-то своем. Не нравится > Exchange - попробуй LotusNotes, который по дефолту всегда > аутентифицируется через PKI. Тоже натрахаешься :)))) Пока решили сделать через керберосные функции домена. Типа, в домене аутентифицировался, потом обращаешься к почте, но говоришь, что за тебя "подпишется" домен. И почтовый демон уже с доменом разговаривает...
|
| | | |
Что бы не открывать дыру в файрволле можно использовать OWA 27.05.05 16:17
Автор: Garick <Yuriy> Статус: Elderman
|
|
| | | | |
ИМХО: OWA не выход 29.05.05 18:26
Автор: Woonder <Бученков Андрей> Статус: Member
|
Чтобы пользовать OWA без запроса пароля и пользователя необходимо быть в домене (Integrated Authentication), иначе все равно спрашивает (либо Basic Authentication либо на страничке при доступе по https) При базовой проверке можно использовать сохранение паролей в браузере, но ведь в любом случае пароль он и остается паролем.
Вот только не знаю может быть возможно использование персональных сертификатов при доступе к OWA по https. (Надо бы проверить только не могу - в отпуске пока).
Я использую OWA через ISA2004 - медленно и остается угроза раскрытия паролей нерадивыми пользователями при пользовании чужими компами.
|
| | | | | |
Ауетентификация сертификатом работает 30.05.05 12:50
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
сам не так давно проверял на винЦЕ. на сервере стоял owa2000. На 2003-м должно тоже работать.
|
|
|