Re^3: NTFS

From

Vasily Krysin (2:5054/84.4)

To

Boris Rudakov ()

Date

2003-06-14T04:57:24Z

Area

CARBON.COPY

 * Forwarded from area 'PERM.WIN32'
hi, Boris

12 Jun 03 00:45, you wrote to me:

[...]

BR> Как я заметил в предыдущей мессаге, в защищенной системе должно быть "либо
BR> все либо ничего" - собирать ее из слабоувязанных кусочков - нельзя.

Ну это просто догма какая-то. Системы ж разные бывают.
По масштабам, например.

[...]

BR> И чего с ним делать ?
BR> Собирать поверх него некую отсебятинку для шифрования траффика ? И все ?

А отчего бы, собственно, и нет? То, что ты доверяешь
программистам микрософта больше, чем себе, еще не значит
что и весь остальной мир думает так же.

[...]

BR> Про него так ошибочно (по незнанию) думают. Я сам так думал, пока не скачал
BR> его и не посмотрел.

Гы ;) Отталкиваться от того, что кто-то там ошибочно,
по незнанию, думает - это сильно ;)

[...]

VK>> PS. Кстати, раз уж зашла речь о птичках - обьясните мне
VK>> кто-нить - везде написано, что винда, начиная с 2k,
VK>> использует в свих AD некие исковерканные обломки
VK>> пятого кербероса.

BR> В каком смысле - "исковерканные" ?

Это мои субьективные поверхностные впечатления ;)

VK>> У меня вопрос - зачем? Ну вот зачем оно там?

BR> Как я уже предположил - для совместной работы с системами, в кторых
BR> авторизация построена на Керберосе.

VK>> Никак неповерю в то, что он как-то совместим с оригиналом.

BR> Совершенно напрасно.

Хе-хе-хе ;) Поверю, когда сам увижу винду, успешно
залогинившуюся, скажем, на фре, через керберос.
Без многочасовых плясок с бубном и модификации
сервера в угоду виндовым закидонам. Это не наезд -
буквально на днях я ЖЖ предлагал, вместо его
любимого ниса внедрежить, керберос. Но после некоторого
минимального соприкосновения с его виндовой реализацией,
я уже не считаю, что это было бы проще.

BR> Из того что я читал, Керберос реализован честно, в полном объеме (думаю
BR> что просто втупую портирован) и оформлен в виде стандартного SSPI.

Ага. Там всегда все честно реализуется. С поправкой
на их понятие честности, подразумевающее, что
microsoft.com - это пуп земли ;) Вернее, их маленькой
мягкой империи.

BR> Фактически, проку от него столько же (не больше и не меньше) чем от NTLM
BR> SSPI. С NTLM SSPI ты можешь "дружить" с любыми НТями, Мастдаями и
BR> юниксами, оборудованными Самбой, а с KRB5 SSPI - с любыми системами, этим
BR> самым Керберосом5 оборудованными - Юниксами, Мэйнфреймами и новыми НТями,
BR> где тот SSPI стоит.

Вообще, этот вопрос у меня возник в процессе внедрения
2k домена. Периодически, то тут, то там натыкаясь на
знакомые буквы типа kdc, ticket или principal, я просто
задумался - а начерта оно там? Вроде как без него
домен работать небудет. А на цельную реализацию k5
оно просто непохоже. Впрочем, может я и зря так считаю.

[...]

BR> В данном случае это просто невозможно - у Кербероса жесткий протокол и
BR> никаких шатаний быть не может. Это или KRB[4|5] - или НЕ KRB. Разночтений
BR> быть не может.

Ну дак! Любой протокол жесток по своему. Иначе кому
он нужен-то будет? Хотя тот же пятый позволяет,
скажем, выбирать метод шифрования.

[...]

BR> защите своих сетей, так поставь НАСТОЯЩУЮ полную систему защиты ! Нахера
BR> голая авторизация-то нужна ?!

А что тебя смущает? Я вот легко представляю себе ситуацию,
когда нужна только голая аутентификация/авторизация.

BR> Нет, не понимаю я принципиальной нужды реализации KRB SSPI в НТе. Так,
BR> выегнуться и показать что Security API хорошо реализован и это сделать
BR> позволяет. Ну так кто сомневался ? Коли весь НТевый SSPI сделан по одному
BR> из RFC, не помню номер...

Ну это-то не показательно нифига. По RFC можно много
чего наворотить ;)

[...]

BR> Я думаю, что ГЛАВНАЯ причина - US Goverment.

А вот в это я легко верю.

[...]

BR> Мне - не плохо (мне пох:) А тебе плохо ?  :):):):):)

Да и мне он никуда не упирается ;) Так просто -
вопросик всплыл.

BR> Boris Rudakov,               Что, дружок, похмелье ?
BR> BBR

peace!
SeaD [deep.perm.ru]

--- GoldED+/BSD 1.1.4.8
 * Origin: <sead> @ <perm.ru> (2:5054/84.4)