March 2024  |  01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

Kerberos5-1.6のリリース

MIT Kerberos5 の 1.6 がリリースされたようだ。

* Partial client implementation to handle server name referrals.
* Pre-authentication plug-in framework, donated by Red Hat.
* LDAP KDB plug-in, donated by Novell.


LDAPのKDBプラグインが Novell から寄付されたことが目を引く。

VPN 代りに WebDAV SPNEGO認証

(コメントSPAM対応のため、2005.12.09 Friday のログを再録しました)

VPNを張るのはちょっと大げさという向きに、SPNEGO 認証のWebDAVはお奨め。
リモートアクセスしたい機能が Web, Mail, File くらいに絞りこめれば、いちいち VPN を張らずとも、SSL/TLS 経由の WebDAV でも十分ではないだろうか。SPNEGO 認証を使えばシングル・サインオン環境にもできる。

というわけで、Firefox を使って Web アクセスができることは既に確認済み(Linux版, Windows版)なので、今度は Fileアクセスを試してみた。
とりあえず、てっとり早いのは Windows XPの Webフォルダからのアクセスだろう。Apache2 の WebDAV ファイルシステムに SPNEGO 認証でアクセスしてみた。WinXPの Webフォルダの設定は、「ネットワークプレースの追加」ウィザードで行なえるので簡単である。

せっかくなので、Subversion もと思ったら、
svn: PROPFIND (URL: '/svn/repos'): 301 Moved Permanently

から抜けられない。
なんのことはない、ApacheとSVNで微妙に重複させてしまったパス名の混乱だった。(2006-03-01 追記)

WebDAVの本で少し勉強してみよう。

SSOのCUPSプリント管理

Linux Journal 紙が少しおおきくなって(物理的に2cmくらい幅が広がった)、大きさに慣れなくて、電車の中でちょっともてあまし気味というのはさておいて、Linux Journal Mar.2006(Issue 143) "Single Sign-on and the Corporate Directory, Part IV" では、Samba 経由でのCUPSプリンタの利用 がとりあげられている。そのほかに、LDAPとSSHキーの管理も話題にしているが、最後に mod_auth_kerb ApacheモジュールとNFSv4のGSSAPI認証に触れている。

LJのこの号は、"ARE YOU SECUER?"と題して、その他にもセキュリティに関する話題が多くとりあげられていて、mod_security, LIDS, firewall scripting, GnuPG, Gurddogなどのタイトルが目にはいる。最近の話題の記事も、AJAXやSubversionなどがある。

cadaverもSPNEGO認証可能に

最近気がついたのだが、昨年の大晦日の日付でcadaverが更新されていた。cadaverはコマンドライン版のWebDAVクライアントでUnix系のプラットホームで利用できる。
WebDAVはWindowsプラットホームではWebフォルダでサポートされているものの、Unix系のクライアントは限られている(ただし、LinuxにはWebDAVファイルシステムもある)。
その、cadaverの認証を、Subversionでも使っているWebDAVクライアントライブラリの neon の新しいバージョンを使うことで、複数の認証プロトコルに対応し、SPNEGO認証も可能になった。
これで、WebDAVもSubversionもマルチプラットホームでSPNEGO認証ができるということになり、Kerberosシングルサインオン(SSO)環境がまた広がった。

なお、Mac には GoliathというGUIベースのWebDAVクライアントもあるようだ。

内で Samba、 外で WebDAV

Linux Journal Feb.2006(Issue 142) "Single Sign-on and the Corporate Directory, Part III" では、Samba と LDAP がとりあげられている。Samba のKerberos 認証は執筆時点ではいまひとつなところらしい。シングルサインオンが目的であれば、Samba は LDAP認証をサポートしているので、Heimdal(KTH版Kerberos5)のKDBをOpenLDAP で管理する連携はあるそうだ。


MIT Kerberos for Windows
を使った GSSAPI PuTTYや Eudora の紹介もある。
まだ、Kerberos4 のときに、kpop と Eudora の認証は試したことがあった。KTH で配布されている kpopproxy を使うと、普通のメーラが Kerberos 認証をして kpop サーバにアクセスできる。
Firefox 1.5 もそうであるが、Kerberos GSSAPI 認証のクライアントは確実に増えきている。

しかし、インターネット越しのファイルシステムにセキュアにアクセスするには、Samba ではSSHトンネルを使いたくなったり、管理者にポートを開けてもらったりなど煩わしい。そこで、WebDAV に注目している。GSSAPI(SPNEGO) 認証で SSL 通信(HTTPS) を使って安全にするである。Firefox のブックマークを WebDAV に保存しているという人もいる。また、Subversion を使ってバージョン管理もできるので、プログラムコードのメンテにも重宝する。
ちょうどよいタイミングで、Software Design 2006 2月号に WebDAV の特集が組まれている。


12345>|next>>
pagetop