GSSAPI [kth.se #1222295]

[Harald Barth]

magnus>Och vad har det här svaret att göra med dealen med Microsoft?

Guilt by association. Jag vet inte om det är svårt att sätta upp
GSSAPIauth i en exchangelösning eller om systemgruppen är extremt
inkompetent. Men något av dessa två saker borde det väl vara när den
nu i månader har sagt "jag kan GSSAPI":

S: * CAPABILITY IMAP4 IMAP4rev1 AUTH=NTLM AUTH=GSSAPI AUTH=PLAIN ....
                                          ^^^^^^^^^^

utan att det har fungerat mot _nån_ klient. 

Om de skulle satt upp det korrekt skulle det funka UTAN config direkt
mot Thunderbird i alla realmer som Windowskerberosrealmen UG.KTH.SE
har kors med. Men korsrealm kan man ju inte heller tänka sig sätta
upp, inte ens med Unix-kerberrosrealmen KTH.SE som handhas av SAMMA
organisation med samma chef (Peter Reuterås) och servas av samma ITSC.

> Jag tycker inte att GSSAPI är så jätteprioriterat, visst, det är
> skönt när det funkar men fokus har flyttat från folk som kör på
> skolans arbetsstationer till sina laptopar (speciellt efter att Eee
> kom). Då funkar det ju liksom med IMAPS.

Jag tycker man skall stöda GSSAPI av följande anledningar:

    * MIM-attacker

    * Single-signon mot NADA och andra som inte är "WINDOWSSYSTEMET"
      UG.KTH.SE. Obs singularis.

    * Följande klienter: pine, gnus, mew (okej, jag klarar mig)

> Eller har jag fattat helt fel i hur folk använder dataresurser på KTH numera?

Jag tror att det kanske inte är helt så som du tror att det är. Jag
ser att många flyttar till gmail. Jag tycker att de inte borde göra
så, men jag har ju inga argument när KTHs lösning fungerar markant
sämre. Eller skall man bara tvinga anställda med hänvisning till
offentlighetsprincipen?

Jag får inte heller några svar längre i frågan från ITSC. De kunnde
åtminståne sluta hyckla med AUTH=GSSAPI i sin IMAP CAPABILITY om de nu
inte tänker stödja det.

Harald.