Budiz, napsat takovy skriptik je otazka chvile, ale prijde mi to trochu jak drbani se nohou na za uchem.
Nejsou na tohle nahodou specialni protokoly jako Kerberos, TACACS, LDAP?
Re: centralizovana distribuce verejnych klicu
Budiz, napsat takovy skriptik je otazka chvile, ale prijde mi to trochu jak drbani se nohou na za uchem.
Nejsou na tohle nahodou specialni protokoly jako Kerberos, TACACS, LDAP?
Fanless Experiment || Gigabyte Z77-DS3H | Intel i5-3570K | Thermalright HR-02 | 16G DDR3 | Sapphire HD 7750 Ultimate | Crucial M4 256GB | Seasonic X-400FL | Fractal Define R4
Dell D430 || i945G | C2D 1.2G ULV | 2G DDR2 533 | GMA950 | 12" 1280x800 | 80G 4k2 | 802.3ab | 802.11g | 802.15.1 | HSDPA | Windows 7 x64
Storage || i965G | E2200 | 4G DDR2 | RAID5 6x Samsung HD154UI 1.5TB - ~7TiB | 802.3ab ...powered by Ubuntu Server x64
Accessories || E-MU Tracker Pre USB 2.0 | Meier Corda Headsix | Sony MDR-CD470 | Pioneer A-204R | Tesla ARS 9218 32 | LG 32LD350
"Music is essentially useless, as life is." George Santayana
Re: centralizovana distribuce verejnych klicu
ano je na to neco cemu se rika PKI ale to se zabyva i distribuci privatnich klicu
kerberos pokud vim neprenasi certifikat, nebo publik key, ty protokoly, ktere jsi pospsal jsou authentizacni protokoly, hm ted bych kecal ale kerberos i authorizacni,
pr pki:
1/ certifikacni autorita spojena s active directory
v AD je 1 - n templejtu ktere rikaji kdo a o jaky certifikat si muze zazadat. uzivatel nebo CA vygeneruje key pair a podpise certifikat (public key) a posle ho (pripadne s privatnim klicem) uzivateli (nebo pocitatci) zaroven publikuje certifikat do AD takze je tam k dispozici tem authentizacnim protokolum, ktere jsi popsal. Takze pokud potrebujes overti pravost verejneho klice - certifikatu pokud je podepsany CA tak to probiha v nekolika urovnich ci stepech
- je cert validni (od do)
- neni revokovany? (CRL authority) - CRL je take distribuovano do AD a nebo ma sve cpecificke umisteni, ktere je popsane ve specificke polozce certifikatu
- odpovida seriove cislo, hash, common name?
certifikat samo nemusis publikovat jen do AD muze byt posilan do LDAPu a nebo je v LDAPu pokud je spojeny s AD...
takze pak je na nastaveni applikace, serveru, pc, routeru, cehokoliv co pouziva certifikat, kam si sahne ho overit.
jinak je kupa a kupa protokolu, ktere umoznuji zadat o certifikat CA (nemusi byt MS CA = neni integrovana v AD)
Q9450.R4850.SM215tw.P5Q-Deluxe.x500.NZC130.Pix-501.xen
Re: centralizovana distribuce verejnych klicu
2monsoon: IMO trochu kanon na vrabce, zalezi co od toho chces, ale pokud ti jde o jednotky/desitky stroju a "par" osob, je asi daleko jednodussi se LDAP a dalsim vecem vyhnout.
IMPROBE AMOR, QUID NON MORTALIA PECTORA COGIS - krutá jsi, lásko, kam až ty doženeš smrtelná srdce -- Vergilius
Mnoho je prostředků, které léčí lásku, ale žádný není spolehlivý.
S tím, čeho se na nás dopustili druzí se už nějak vyrovnáme. Horší je to s tím, čeho jsme se na sobě dopustili sami. -- Francois La Rochefoucauld
Nabídnout přátelství tomu, kdo chce lásku, je jako dát chleba tomu, kdo umírá žízní.
Re: centralizovana distribuce verejnych klicu
no tak nainstalovat sun directory server je to nejmensi ale Jezevec ma urcite pravdu v tom, ze pro malou firmu (pokud nepouziva certifikaty pro autentikaci a pro podepisovani mejlu) a nebo domaci ucely vytvaret takove framework je drbani sesti nohama za uchem a v nosu, takze ten skriptik bude lepsiobzvlaste mali to byt jen pro ssh
Q9450.R4850.SM215tw.P5Q-Deluxe.x500.NZC130.Pix-501.xen
Toto téma si právě prohlíží 1 uživatelů. (0 registrovaných a 1 anonymních)
Pravidla přispívání
Odpověď s citací