(k)Telnet (or not)
Måns Nilsson
mansaxel at besserwisser.org
Wed Mar 7 23:02:28 CET 2012
On Wed, Mar 07, 2012 at 05:31:49PM +0100, Stefan Berggren wrote:
<CHOMP>
> > Det finns tre steg:
> >
> > 1. Svara yes, skicka lösenord över nätet (*)
> > 2. Svara yes, skicka kerberos nycklar över nätet
> > 3. Ömsesidig nyckelbyte.
> >
> > Jag tycker vi skall ha 3. men vill gärna veta ifall det finns folk som
> > tycker sig behöva 2. eller t o m 1.
>
> Instämmer om att nr 3 är att föredra. Jag personligen tycker att vi
> ska ha det som enda alternativ på de administrativa maskinerna. T.ex.
> cookie, vingummi, pony, o.s.v. ... d.v.s. maskiner där bara rötter
> kommer in.
>
> Vi vill dock fortfarande ha en skalserver för de vanliga användarna,
> jag vet att det finns många som tycker att det är svårt med kerberos,
> och många som av en orsak eller annan inte vill/kan installera
> kerberos på sin maskin. För de behöver vi alternativ 1. Självklart
> vill vi även tillhandahålla alternativ 2 för de som pratar kerberos.
Man ska då inte kunna logga in på administrativa maskiner från
skalkärran. Och inte heller från my.nada.kth.se eller motsvarande.
Windowsfolket på jobb älskar att köra sina RPC-program från någon
av de virtualiserade "sysadmin-skalmaskinerna" över RDP. Jag hajade
till när jag hörde det, och ännu mer när jag förstod att det var
så folk gjorde "överallt". När det finns lokala trynen att köra på
sin arbetsstation, och man numera kan "pagsha" rätt lätt i Windows...
Snacka om värd maskin att äga...
/Måns, skriver inte sitt lösenord annat än till lokala processer.
I den bästa av världar. (Där är man ju tyvärr inte alltid...)
More information about the Stacken
mailing list