GSSAPI [kth.se #1222295]

[Harald Barth]

> Jag tycker fortfarande att ingen har svarat på den intressanta frågan, om
> Exchange kan konfigureras på ett sådant sätt så att GSSAPI fungerar med
> rätt Kerberos-realmar.

Man kan konfa EN exchange med GSSAPI så att det interagerar med
GSSAPI-Imapklinter. Det jag inte vet är 

  * Går det med korsrealm, dvs kan man säga till en Exchange att
    haba at NADA.KTH.SE är lika okej att authentifiera med som
    haba at UG.KTH.SE. Eftersom Windowsgruppen vägrar korsrealm är
    dock den punkten inte lätt att utreda.

  * Går det att konfa Exchange så att IMAP-klienten kan authentifiera
    sig trots att man har valt att kalla sin tjänst webmail.kth.se
    (A-record och allt) trots att AD-realmen heter UG.KTH.SE. 

  * Går det att konfa Exchange som ovan trots att det är en sådan
    där HA-clustrad Exchange. 

Inte lätt att utreda, speciellt eftersom personalen på ITE som sysslar
med det inte längre verkar vara intresserade att lösa problemet. Det
känns varje gång när jag kommer med lösningsförslag att jag bara
upplevs som "jobbig" och "gnällig minoritet" som borde komma över
det där med att lagra sitt lösenord i mailklienten och skicka det
i en tunnel.

> Jag tror vi har expertis på de olika områdena för att klargöra hur
> det borde vara uppsatt och även hur man kan åstakomma det
> för att lösa problemet.

Jag kan inte prata för din expertis, men jag känner att jag vet vilka
pusselbitar som borde finnas. Jag kan dock inte med säkerthet svara på
att dessa pusselbitar verkligen existerar. Jag upplever däremot att
avdelningen i fråga inte vill lägga detta pussel över huvud taget,
så frågeställningen är rätt så överflödig.

> Skall det verkligen vara så svårt att få det att fungera?

Pratar du nu teknik eller politik.

> Är inte det här ett lämpligt Torsdagshack egentligen?

Nej, ett torsdagshack vore att sätta upp ett fungerande alternativ för
en SS10 från förra årtusendet.

Harald.