Marc SCHAEFER wrote:
> Oui, DES est tr�s mauvais. Par contre, vu que les tickets ne sont
> valables que 5 minutes (et pas de replay attack possible), ce n'est pas si
> grave.
Ouaip, c'est vrai. M�me que tu peux changer ces 5 minutes si �a te plait
pas ;)
> Par contre cela implique une excellente synchronisation du temps.
Sous Windows 2000, chaque machine qui boot va se sychroniser avec le
KDC. Tu peux aussi configurer la tol�rance entre le client et le KDC. Si
la diff�rance de temps entre ces deux est plus grande que ce que t'as
configur�, le client va se mettre � jour.
> Il serait int�ressant de voir si des m�thodes plus avanc�es que Kerberos
> existent (je pense � des cl� publiques). Kerberos travaille en cl�
> sym�triques, en r�sumant beaucoup ton mot de passe est ta cl� (en fait un
> ticket, plut�t). En clair si le serveur d'authentification Kerberos est
> pirat�, tout les mots de passe sont alors connus.
Je trouve le syst�me bien. Mais comme tu le dis, �a serait bien d'avoir
Kerberos am�lior�.
En fait, comme tu le dis, ton mot de passe devient une cl� sym�trique
qui va te permettre de d�chiffrer ce que t'envois le KDC (le ticket par
exemple). Le KDC, lui, va chiffrer avec le m�me cl� sym�trique.
> Mais dans mon cas je m'int�resse particuli�rement � l'authentification
> voire le chiffrement de sessions Kerberos NFS pour remplacer le trou
> permanent AF_UNIX.
Je sais pas, y a pas un moyen de "Kerberiser" NFS pour qu'il fonctionne
avec Kerberos ?
Yann Souchon - [EMAIL PROTECTED]
Etudiant EIG Telecom - GPG Key ID: 54B0E099
http://eig.unige.ch - http://linuxCH.org
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question. Ouais, pour se d�sabonner aussi.
