今日は高校推薦入試のため登校禁止。ガンバレ中学生。

さて、認証を全部Kerberosでやろうという話。

今考え中のNBDの認証は、
http://www.sc.isc.tohoku.ac.jp/~hgot/secap/VineLinux.html
で紹介されている認証ゲートウェイ方法を使おうと思っています。

認証はsshに一任し、ログインが成功した(=/var/run/utmpにエントリが作成された)ユーザー(ホスト)に対して、iptablesのルールを動的に変化させて、通信を許可しようという方法。/var/run/utmpを監視して、変化があったときにiptablesのルールを変更する。(この解釈で合っているはず)

この方法であれば新たに認証システムを自分で作る必要がないので、セキュリティも高い。通信の拒否/許可も自分で作る必要がないので、セキュリティーホールになりにくい。

ただ、sshクライアントはバイナリがかなり大きくなるので(フリーなembeded向けなsshクライアントってありませんか？)、rlogin(Kerberos付き)を使おうと思っています。

で、ここで思いついたわけですが、種々の認証を全部Kerberosに統合出来るのではないか、と。

調べてみると、ssh、NFS4、Samba(CIFS)、Apache、さらにはPAMまでKerberos
を使えるらしい。

完璧ではないか。これが世に言う「シングルサインオン」であろうか。

それではKerberosを勉強せねば…