информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 С наступающим 
 Серьезная уязвимость в Apache Log4j 
 Крупный взлом GoDaddy 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
"Вещь в себе " все равно будет 30.05.05 12:56  Число просмотров: 1611
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
Потому что афаик ни в POP3 ни в IMAP4 не предусмотрено логина по сертификату. То есть тебе придётся использовать модифицированную пару Сервер/Клиент работающую либо на екстеншене IMAP либо вообще на чем-то своем. Не нравится Exchange - попробуй LotusNotes, который по дефолту всегда аутентифицируется через PKI. Тоже натрахаешься :))))

В общем - желаю удачи.

"Я вижу свет в конце туннеля!" - "Идиот, это встречный поезд."
<sysadmin>
Аутентификация на почтовике через сертификат? 27.05.05 09:26  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
Существует ли в природе протокол (и его реализация, естессно) типа POP3 / IMAP4, но чтобы
юзера аутентифицировал не по username/pass, а через механизм PKI (сертификат)?
А если еще и сертификаты бы брал в ldap-хранилище, то вообще оргазм :)
Допрос Яндекса и Гугла ничего не дал. Может, плохо спрашивал :)
А механизмы безопасности вроде POP3 over SSL или проверка пароля SPA не устроят? 27.05.05 11:02  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
Там все равно юзера по паролю аутентифицируют, и все пляски... 27.05.05 13:40  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
Там все равно юзера по паролю аутентифицируют, и все пляски только вокруг защиты этого пароля при передаче.
А идея в том, чтобы паролей у юзеров не было вообще и аутентификация шла при помощи 3-way handshake...
exchange 27.05.05 14:53  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
с аутентификацией по сертификату AD

Минус - нужен VPN или здоровенная дырка в фаерволе
Переход на домен будет (собсно, там и будут сертификаты),... 30.05.05 07:35  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> с аутентификацией по сертификату AD
>
> Минус - нужен VPN или здоровенная дырка в фаерволе
Переход на домен будет (собсно, там и будут сертификаты), так что это не проблема. Но эксчейндж не хотелось бы, ибо уж больно "вещь в себе". Есть желание оставить почтовик на юниксе, только аутентификацию с паролей на сертификаты увести.
"Вещь в себе " все равно будет 30.05.05 12:56  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
Потому что афаик ни в POP3 ни в IMAP4 не предусмотрено логина по сертификату. То есть тебе придётся использовать модифицированную пару Сервер/Клиент работающую либо на екстеншене IMAP либо вообще на чем-то своем. Не нравится Exchange - попробуй LotusNotes, который по дефолту всегда аутентифицируется через PKI. Тоже натрахаешься :))))

В общем - желаю удачи.

"Я вижу свет в конце туннеля!" - "Идиот, это встречный поезд."
Пока решили сделать через керберосные функции домена. Типа,... 01.06.05 12:39  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Потому что афаик ни в POP3 ни в IMAP4 не предусмотрено
> логина по сертификату. То есть тебе придётся использовать
> модифицированную пару Сервер/Клиент работающую либо на
> екстеншене IMAP либо вообще на чем-то своем. Не нравится
> Exchange - попробуй LotusNotes, который по дефолту всегда
> аутентифицируется через PKI. Тоже натрахаешься :))))
Пока решили сделать через керберосные функции домена. Типа, в домене аутентифицировался, потом обращаешься к почте, но говоришь, что за тебя "подпишется" домен. И почтовый демон уже с доменом разговаривает...
Что бы не открывать дыру в файрволле можно использовать OWA 27.05.05 16:17  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
ИМХО: OWA не выход 29.05.05 18:26  
Автор: Woonder <Бученков Андрей> Статус: Member
<"чистая" ссылка>
Чтобы пользовать OWA без запроса пароля и пользователя необходимо быть в домене (Integrated Authentication), иначе все равно спрашивает (либо Basic Authentication либо на страничке при доступе по https) При базовой проверке можно использовать сохранение паролей в браузере, но ведь в любом случае пароль он и остается паролем.
Вот только не знаю может быть возможно использование персональных сертификатов при доступе к OWA по https. (Надо бы проверить только не могу - в отпуске пока).
Я использую OWA через ISA2004 - медленно и остается угроза раскрытия паролей нерадивыми пользователями при пользовании чужими компами.
Ауетентификация сертификатом работает 30.05.05 12:50  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
сам не так давно проверял на винЦЕ. на сервере стоял owa2000. На 2003-м должно тоже работать.
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2022 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach