Un bon sysadmin, utilise PAM, Ok pam est une merde à configurer, mais le résultat est à la hauteur :
tu rentres un mot de passe
PAM peut d'abord l'essayer sur les shawdow, ensuite, sur du ldap, ensuite sur du kerberos ....
Et ensuite SASL permet d'implémenter du requêtage LDAP pour le courier ...
Et apache supporte LDAP pour l'authentification (hyper simple)
N'importe quel nouvel litote d'unification des authentifications reviendra à :
1) unifier le référentiel (dans un annuaire ldap ou une db) ;
2) à offrir des service d'authentification au dessus (SASL par exemple) ;
3) à offrir des modules système (comme PAM) qui font la liaison entre le référentiel extérieur et les données nécessaires du système (comme le HOME, les ACL, les services autorisés) ;
4) à offrir des serveurs d'authentification qui feront les passerelles (comme radiator qui offre du radius à partir de règles définies sur un ldap ou une DB).
Et au mieux chacune des couches doit présenter une certaine abstraction
Ca marche sûrement mieux en ayant un système qui fait son boulot, un administrateur système qui fait son boulot, des développeurs qui programme conformément au système, un responsable des infras qui essaie de sensibiliser ses intervenants à ces problèmes, et qui connaît ses infras et ses technos (c'est pour ça qu'une MOA qui pense qu'elle doit être inculte en technologie m'effraie toujours un peu).
concernant ldap, si pour login/pass ça va, ça reste un annuaire léger. Quand on blinde son ldap d'info je vois pas bien le bénéfice par rapport à une base de données. De toute façon un bon système d'authentification doit de toute façon s'abstraire du référentiel de données.
L'authentification est un problème d'architecture à mon avis, à laquelle aucune technique ne peut répondre mieux que l'emploi de bons sysadmin/architectes/développeurs.
[^] # Re: Encore une technologie breveté qui va nous retomber sur la tête...
Posté par Jul (site web personnel) . En réponse à la dépêche Mono projette l'implémentation de Silverlight de Microsoft. Évalué à 2.
tu rentres un mot de passe
PAM peut d'abord l'essayer sur les shawdow, ensuite, sur du ldap, ensuite sur du kerberos ....
Et ensuite SASL permet d'implémenter du requêtage LDAP pour le courier ...
Et apache supporte LDAP pour l'authentification (hyper simple)
N'importe quel nouvel litote d'unification des authentifications reviendra à :
1) unifier le référentiel (dans un annuaire ldap ou une db) ;
2) à offrir des service d'authentification au dessus (SASL par exemple) ;
3) à offrir des modules système (comme PAM) qui font la liaison entre le référentiel extérieur et les données nécessaires du système (comme le HOME, les ACL, les services autorisés) ;
4) à offrir des serveurs d'authentification qui feront les passerelles (comme radiator qui offre du radius à partir de règles définies sur un ldap ou une DB).
Et au mieux chacune des couches doit présenter une certaine abstraction
Ca marche sûrement mieux en ayant un système qui fait son boulot, un administrateur système qui fait son boulot, des développeurs qui programme conformément au système, un responsable des infras qui essaie de sensibiliser ses intervenants à ces problèmes, et qui connaît ses infras et ses technos (c'est pour ça qu'une MOA qui pense qu'elle doit être inculte en technologie m'effraie toujours un peu).
concernant ldap, si pour login/pass ça va, ça reste un annuaire léger. Quand on blinde son ldap d'info je vois pas bien le bénéfice par rapport à une base de données. De toute façon un bon système d'authentification doit de toute façon s'abstraire du référentiel de données.
L'authentification est un problème d'architecture à mon avis, à laquelle aucune technique ne peut répondre mieux que l'emploi de bons sysadmin/architectes/développeurs.