Single sign-on для маленьких
Оказывается, в prosody появился mod_auth_dovecot. То есть в джаббере теперь не только идентификатор пользователя совпдает с его E-Mail-ом, но и пароль можно проверять об почтовый (IMAP) сервер. Благо сервер отправки почты (postfix) у меня давно через dovecot-овский SASL-работает.
Вот только для http-шных ресурсов я что-то не вижу такой возможности. Тот mod_authn_sasl, который лежит на sourceforge заброшен уже 10 лет как. В дистрибутиве, тем не менее есть.
А так, вообще что-то в этой идее есть - перевести все ресурсы, требующие авторизации, на использование dovecot-овского sasl. Во всяком случае будет понятно, как пароль менять в случае чего. Забавная, конечно при этом цепочка будет у radicale - клиента будет аутентифицировать фронтэнд-прокси, передавая запрос почтовому серверу. А сам radicale будет доверять REMOTE_HOST, выставленному этим сервером. Это при том что основаня работа radicale - хранить список контактов для электронной почты и календарных событий. которые тоже через почту менеджатся.
Почему "для маленьких" - потому что это решение интересно там, где разворачивание полноценного LDAP-сервера не имеет смысла.
Хотя, конечно, использование почтового пароля в другом клиентском софте (который имеет привычку его запоминать, впрочем почтовые клиенты этим тоже грешат) несколько повышает вероятность его утечки. А менять придется во всех клиентах по отдельности.
This entry was originally posted at https://vitus-wagner.dreamwidth.org/2277041.html. Please comment there using OpenID. Now there are
comments