Który smak Kerberos?

11

Konfiguruję więc małą sieć ze wszystkimi standardowymi plikami (pliki, e-mail itp.) I zdecydowałem się na rozwiązanie Kerberos + LDAP. Jakieś pomysły lub rekomendacje dotyczące Heimdal vs. MIT?

Używałem MIT wcześniej i stycznie Heimdal, ale tak naprawdę nie znam żadnego prawdziwego powodu, aby używać jednego nad drugim. Po prostu wiem, że wolałbym nie zdawać sobie sprawy, że wolę uruchomić MIT po uruchomieniu całego Heimdal z pełną bazą danych użytkowników.

Jeśli jakieś inne informacje byłyby przydatne, chętnie udzielę.

kerberos mitkerberos heimdal Michael Lowman
źródło
Kerberos słodko-kwaśny.
Tom O'Connor,

Odpowiedzi:

2

Heimdal jest / będzie zintegrowany z Samba 4 w swojej implementacji Active Directory.

Hubert Kario
źródło
Czy możesz podać dokładne źródło?
plluksie
1
o ile mogę stwierdzić po losowym googlowaniu, Samba4 ma obecnie heimdal zintegrowany z drzewem źródłowym . Wygląda na to, że podjęto wysiłek, aby uczynić go kompatybilnym i określić, jak daleko to zaszło. Wygląda na to, że heimdal i ldap są tutaj. Dzięki!
Michael Lowman
4

MIT Kerberos jest dobrze obsługiwany. Jest to implementacja referencyjna i domyślna w RedHat i wierzę również w Debiana. OTOH, Heimdal miał nieco ładniejsze narzędzia administracyjne IIRC, ale poszedłem z MIT.

ptman
źródło
3

Chciałbym odpowiedzieć: „w zależności od tego, która z tych opcji jest zapewniona przez Twoją dystrybucję”, chyba że istnieją szczególne potrzebne funkcje, które są dostępne tylko w jednym lub drugim. Na przykład Heimdal pozwala używać katalogu LDAP jako magazynu kluczy, co może być atrakcyjne w większej organizacji (ponieważ można przechowywać poświadczenia Kerberos i inne informacje o użytkowniku w tym samym miejscu).

Larsks
źródło
Cóż, moim dystrybutorem jest Gentoo. więc to jest zarówno :), jak i MIT mogą zrobić to samo, ale i tak planuję używać lokalnych plików baz danych
Michael Lowman
3

Według http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/kerberos5.html

Kerberos to zarówno nazwa protokołu uwierzytelniania sieciowego, jak i przymiotnik opisujący programy wdrażające program (na przykład telnet Kerberos). Obecna wersja protokołu to wersja 5 opisana w RFC 1510.

Dostępnych jest kilka bezpłatnych implementacji tego protokołu, obejmujących szeroki zakres systemów operacyjnych. Massachusetts Institute of Technology (MIT), w którym Kerberos został pierwotnie opracowany, nadal rozwija swój pakiet Kerberos. Jest powszechnie stosowany w Stanach Zjednoczonych jako produkt kryptograficzny, ponieważ historycznie podlegały amerykańskim przepisom eksportowym. Kerberos MIT jest dostępny jako port (security / krb5). Heimdal Kerberos to kolejna implementacja wersji 5, która została wyraźnie opracowana poza Stanami Zjednoczonymi w celu uniknięcia przepisów eksportowych (i dlatego często jest zawarta w niekomercyjnych wariantach UNIX®). Dystrybucja Heimdal Kerberos jest dostępna jako port (security / heimdal), a minimalna jej instalacja jest zawarta w podstawowej instalacji FreeBSD.

Aby dotrzeć do jak najszerszego grona odbiorców, instrukcje te zakładają wykorzystanie dystrybucji Heimdal zawartej w FreeBSD.

Więc to także kwestia prawa ...

plluksie
źródło
Cóż ... Nie mieszkam w Iranie, Korei Północnej ani w żadnym innym kraju uważanym za państwo terrorystyczne, a zatem podlegającym przepisom dotyczącym kontroli eksportu. Poza tym ograniczeniem od 1996 r . Nie istniały tego rodzaju ograniczenia kontroli eksportu silnego szyfrowania . Być może moje pytanie byłoby lepiej sformułowane: „Czy to jedyny powód, aby używać Heimdal lub Kerberos do obsługi starszego systemu od czasów, gdy tylko Heimdal był legalny?”
Michael Lowman
0

Heimdal to implementacja Kerberos5, której używa FreeBSD. To i implementacja MIT są również dostępne w kolekcji portów.

Utkonos
źródło