[perl] =?iso-8859-1?Q?Autentificaci=F3n?= de Usuarios

Salvador Ortiz Garcia sog@msg.com.mx
Wed, 13 Dec 2000 19:46:45 -0600 (EST) 

On Wed, 13 Dec 2000, Bolo Lacertus wrote:

> Saludos!
> 
> Gunnar, ?Su opinión sobre cual es el mejor esquema de autentificación?

No soy Gunnar pero...
>
....
> 
> La mejor forma que conozco de unificar el sistema de autentificación es
> utilizando un servidor de Directorio, por ejemplo un LDAP (OpenLDAP o I
> Planet) de modo que UNIX le pregunte si debe dejar entrar a un usuario o
> no, al igual que el servidor Web y para resguardar los passwords
> simplemente fortaleces la seguridad de LDAP cifrando las operaciones de
> consulta y configurandolo adecuadamente. Es considerablemente mas
> trabajo, pero puedes lograr resultados espectaculares de esta forma.

Efectivamente, no existe nada mejor que LDAP.

Dependender de POP/IMAP por ejemplo, es agregar un paso adicional, pues
normalmente aterrizan otra vez en /etc/{password|shadow}

Mientras que a la inversa, hacer que todo, incluyendo POP/IMAP pasen por
LDAP permite virtualizar completamente los usuarios.
 
> Raúl González Diego wrote:
> > precisamente era lo que había notado, al ver la información del archivo
> > passwd note que tiene permisos rw-r--r--, mientras que el archivo shadow
> > tiene permisos r------;
> > resumiendo ¿es o no es conveniente utilizar ese esquema?

Las ventajas de shadow se desvanecen en la medida que tienes más y más
programas que requieran setuid para poder validar los passwords pues cada
uno se convierte en un agujero potencial a tu seguridad.

> > ¿qué otro esquema de autentificación sería conveniente usar?

LDAP.

Ventajas principales:

0. Centralizas toda la administración de autentificación.
   (Dejas de requerir una "base de datos de usuarios" para cada
    aplicación)

1. Los usuarios de un determinado servicio no requieren ser cuentas de tu
   maquina.   (Los usuarios se vuelven virtuales)

2. Los usuarios de un servicio determinado no requieren serlo de otro.
   (pe. Los usuarios de una aplicación WEB no lo son necesariamente de
    POP)

3. Escala a millones de usuarios.

4. Practicamente cualquier servicio (WEB, MAIL, PAM, NSS, SAMBA, Etc)
   se puede montar sobre LDAP.

5. Tienes un API disponible en casi cualquier lenguaje.

Saludos

Salvador Ortiz


--------- Pie de mensaje --------------------------------
Visite: http://tlali.iztacala.unam.mx/~randrade/perl.shtml
Cancelar inscripcion:
mail to: majordomo@tlali.iztacala.unam.mx
text   : unsubscribe perl