On Tue, Feb 09, 2010 at 06:05:45AM +0700, Denis Feklushkin wrote: > On Tue, 9 Feb 2010 01:41:19 +0300 > Eugene Berdnikov <[email protected]> wrote: > > > On Tue, Feb 09, 2010 at 12:16:03AM +0700, Denis Feklushkin wrote: > > > ssh позволяет залогиниться на керберезированный хост не используя > > > пароль+TGT а используя секретный keytab, импортированный из KDC? > > > > Нет. > > > > > Нужно для робота, который по ssh будет ходить дела делать на других > > > машинах > > > > Для этого не нужно разрушать базис всей модели безопасности > > кербероса. > > экспорт из KDC секретного ключа не разрушает никаких базисов,
Импорт на клиентские узлы разрушает. Зачем тогда вообще керберос? С криптографическими инструментами можно сделать массу глупостей, не имеющих к безопасности никакого отношения. Вы, к примеру, цепляете эл.подпись к письмам в рассылку. Интересно, кому она здесь нужна? > > Можно ключ роботу дать, а при желании и билет получить > > автоматически. > > а подробнее? билет то он получит, но расшифровать его не сможет - > пароль же нужно вводить Ну да. Демон такой же пользователь для кербероса, как и тот, кто бацает по клаве. Не умеете пароль -- дайте демону ключ ssh. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
