(k)Telnet (or not)
Magnus Danielson
magnus at rubidium.dyndns.org
Wed Mar 7 15:22:13 CET 2012
Hej!
On 03/07/2012 02:35 PM, Harald Barth wrote:
>
> Ok, en pinne till brasan: Hur avvecklar vi (k)telnet för vanlig login?
>
> Följdfråga: Vilka behöver hjälp om vi endast har ssh med
> GSSAPIKeyExchange=yes?
>
> Då finns det följande loginmetoder att välja imellan:
> http://www.pdc.kth.se/resources/software/login-1
> (SecureCRT kostar pengar efter testperioden)
>
> Vilka tycker så mycket om sin Putty att de går på barrikaderna för
> det? Putty stöder GSSAPI men inte full GSSAPIKeyExchange vilket
> betyder att putty svarar "yes" åt dig när man första gången ansluter
> till en dator (som då förhoppningsvist inte är MiM). Rätta mig ifall
> det har kommit nyheter på Puttyfronten.
Det där är två pinnar i brasan.
1) Jag tycker att vi kan migrera ifrån ktelnet helt. Det känns
odramatiskt nu mer.
Förslagsvis inventerar vi vilka inloggningar som är finns idag på vilka
servrar, sen väljer vi
tillgängligt bivillkor åtgärd
ssh/ktelnet ssh funkar stäng av ktelnet
ssh/ktelnet ssh funkar inte fixa ssh, stäng av ktelnet
ktelnet gammal maskin behåll ktelnet till pension
ktelnet modern maskin fixa ssh, stäng av ktelnet
ssh ssh funkar ingen åtgärd
Jag tror att vi kommer se att det finns en del gamla maskiner (brev, ns,
imap) där vi inte bryr oss utan löser problemet vid pensionering.
I förekomna fall stänger vi av ktelnet (rent av kastar ut paktetet) på
de moderna maskinerna.
2) Jag tror tyvärr att vi inte kan låsa SSH porten med enbart Kerberos
överallt, hur mycket vi än vill. Jag tror vi fortfarande behöver ha en
skalserver för vanliga användare med mer normal SSH inloggning. Däremot
skall inte icke-Kerberiserad SSH finnas generellt.
MVH
Magnus
More information about the Stacken
mailing list