Re: Interrogativi su LDAP, Kerberos e X.509

On Wed, 2002-12-18 at 23:59, Gorgio Zarrelli wrote:
> >Single Sign On
> >
> >Quello vero, non il trutto di salvarsi l'hash della password
> >(equivalente ad una password in chiaro) che ha sempre utilizzato
> >Microsoft sui client.
> 
> Pigrizia nel non andare a  cercare le fonti, ma a parte il farsi un hash 
> delle password, che qui non c'entra,

C'entra eccome, salvarsi la password di un servizio in memoria è
estremamente insicuro e irresponsabile.

>  il Single Sign On con quale meccanismo 
> distribuito funziona?

con il meccanismo Kerberos, forse è il caso che leggi un po' di
documentazione.

Kerberos è stato inventato proprio per risolvere il problema del Single
Sign On, ovvero autenticarsi una sola volta e usare tutti i servizi a
cui si è abilitati senza problemi. (finchè non scade il ticket)

> > > - Che vantaggo o svantaggio ho ad usare kerberos vs. certificati SSL
> > > (X.509) ?
> >
> >La gestione complessa dei certificati, cambiare un certificato non è
> >come cambiare una password.
> 
> Scontato, ma non può limitarsi ad una maggiore facilità d'uso. Quale è il 
> vero vantaggio funzionale di Kerberos?

Forse non hai presente quanto sia complesso gestire correttamente dei
certificati SSL, in un normale ufficio non ha senso forzare la gente a
costruirsi una Certification Authority e gestire i certificati, sia per
gli amministratori, ma soprattuto per gli utenti.

Credo che la complessità di SSL sia sufficiente per preferire l'uso di
password.

Detto questo ripeto che l'uso di kerberos è ortogonale al problema di
password vs. certificato.
E' possibile autenticarsi con un certificato SSL al posto della password
anche in un sistema kerberos (almeno in teoria, non so quante
implementazioni escano già pronte).

Simo.

-- 
Simo Sorce - simo.sorce@xsec.it
Xsec s.r.l.
via Durando 10 Ed. G - 20158 - Milano
tel. +39 02 2399 7130 - fax: +39 02 700 442 399

This is a digitally signed message part