(k)Telnet (or not)

Magnus Danielson magnus at rubidium.dyndns.org
Wed Mar 7 23:41:47 CET 2012


On 03/07/2012 11:02 PM, Måns Nilsson wrote:
> On Wed, Mar 07, 2012 at 05:31:49PM +0100, Stefan Berggren wrote:
> <CHOMP>
>>> Det finns tre steg:
>>>
>>>   1. Svara yes, skicka lösenord över nätet (*)
>>>   2. Svara yes, skicka kerberos nycklar över nätet
>>>   3. Ömsesidig nyckelbyte.
>>>
>>> Jag tycker vi skall ha 3. men vill gärna veta ifall det finns folk som
>>> tycker sig behöva 2. eller t o m 1.
>>
>> Instämmer om att nr 3 är att föredra. Jag personligen tycker att vi
>> ska ha det som enda alternativ på de administrativa maskinerna. T.ex.
>> cookie, vingummi, pony, o.s.v. ... d.v.s. maskiner där bara rötter
>> kommer in.
>>
>> Vi vill dock fortfarande ha en skalserver för de vanliga användarna,
>> jag vet att det finns många som tycker att det är svårt med kerberos,
>> och många som av en orsak eller annan inte vill/kan installera
>> kerberos på sin maskin. För de behöver vi alternativ 1. Självklart
>> vill vi även tillhandahålla alternativ 2 för de som pratar kerberos.
>
> Man ska då inte kunna logga in på administrativa maskiner från
> skalkärran. Och inte heller från my.nada.kth.se eller motsvarande.

Kan bli svårt att implementera i praktiken.

> Windowsfolket på jobb älskar att köra sina RPC-program från någon
> av de virtualiserade "sysadmin-skalmaskinerna" över RDP. Jag hajade
> till när jag hörde det, och ännu mer när jag förstod att det var
> så folk gjorde "överallt". När det finns lokala trynen att köra på
> sin arbetsstation, och man numera kan "pagsha" rätt lätt i Windows...
>
> Snacka om värd maskin att äga...

Verkligen.

> /Måns,  skriver inte sitt lösenord annat än till lokala processer.
> 	I den bästa av världar. (Där är man ju tyvärr inte alltid...)

Just det där med inte den bästa av världar gör att jag tycker att man 
nog inte rakt av vill låsa skalmaskinen hårt med Kerberos riktigt än.
Jag har inte haft tid att gå igenom alla förslagen och websidor som 
förekommit.

Jag kan t.ex. inte köra Kerberos och AFS innefrån mitt jobb, jag kanske 
kan lyckas om jag anstränger mig lite till.

Att försöka göra den oideala världen lite mindre oideal är väl annars 
det man borde verka för.

MVH
Magnus


More information about the Stacken mailing list