Kerberos и электронная почта.

Печально, что всего один графический почтовый клиент да и тот только с версии 1.5

Нежизненно как-то.

Много крутить придёться...

Если мне не изменяет память, evolution поддерживает gssapi

Ага, действительно, поддерживают (как Evolution, так и KMail). Но эта фича, кажется, в них тоже не слишком давно появилась:
http://www.linuxjournal.com/article/8375

только вот чем афтара неустраивает способ безопасного соединения внешними средствами с помощью SSL/TLS так и непонятно

хорошая статья.

вышеписавшим: как вариант одного из решений очень даже сойдет

>>способ безопасного соединения внешними средствами с помощью SSL/TLS

Поясняю. Kerberos не является только лишь средством шифрования соединения. На самом деле, он задумывался как средство сетевой проверки идентичности пользователей (то для чего сейчас зачастую и совершенно необоснованно используют LDAP), а в качестве побочного эффекта из него вырастают такие приятные вещи как шифрование соединений и single-sign on (пароль вводится только при входе в систему, после чего пользователь получает прозрачный доступ к сетевым ресурсам). Кроме того Kerberos легче масштабируется, чем SSL/TLS.

Помимо ссылок в тексте можно ещё вот сюда заглянуть:
http://www.samag.ru/cgi-bin/go.pl?q=articles;n=06.2005;a=10

BTW Kerberos является составной частью M$ AD. Если нет возможности (или желания) использовать свободный KDC (от MIT или Heimdal), то клиентская часть библиотеки может работать и с Active Directory.

А pine, например, это умеет уже очень давно

Об этом тоже написано в статье.

Блaгoдарю за разяснение. Теперь уяснил и запомнил. )

> На самом деле, он задумывался как средство сетевой проверки идентичности пользователей (то для чего сейчас зачастую и совершенно необоснованно используют LDAP)

теплое с мягким-то не надо путать.

> Кроме того Kerberos легче масштабируется, чем SSL/TLS.

смеялся.

>>смеялся.

Ну, взял бы тогда рассказал что-нибудь, может быть вместе посмеялись...

"Сектор Kerberos" менее распространенный перевод термина "Kerberos realm", чем "сфера Kerberos".

Всё равно и то и другое - неточный перевод. Тем более, что на "сектор Kerberos" google выдает в полтора раза больше ссылок.

У вас другой Google (наверное, не русский): мне запрос сфера kerberos дает 14400 результатов, против 885 для сектор kerberos.

Странно это всё, потому что у меня отношение 1450:1040 не в пользу сферы. Что-то Гугль слишком много и часто стал мухлевать. Гугль у меня русский.

> BTW Kerberos является составной частью M$ AD. Если нет возможности (или желания) использовать свободный KDC (от MIT или Heimdal), то клиентская часть библиотеки может работать и с Active Directory.

Вот-вот, хотелось бы узнать, как можно seamonkey заставить авторизовываться без паролей по ntlm в своем доме.

Может кто подкажет - как?

Я пробывал подкрутить /etc/krb5.conf и в "about:config" - "network.automatic-ntlm-auth.trusted-uris" -- пока не получилось.

NTLM - это не kerberos, а (прошу прощения за мой французский) какое-то закрытое проприетарное дерьмо. AD нормально выступает в качестве KDC, достаточно указать в /etc/krb5.conf что-нибудь вроде:
[realms]
MY.REALM={
kdc=ad.server
kpasswd_server=ad.server
}
и c помощью kinit получить билет с кодировкой типа arcfour-hmac-md5.
Я не уверен, правда, что seamonkey понимает kerberos, поскольку его поддержку стали пихать в firefox и thunderbird уже после того, как классическая mozilla накрылась.

Автору респект!

>BTW Kerberos является составной частью M$ AD

BTW LDAP тоже является составной частью M$ AD.

учите матчасть, батенька

> Ну, взял бы тогда рассказал что-нибудь, может быть вместе посмеялись...

инфраструктура X.509 масштабируется так же, если не лучше, чем Kerberos. В X.509 есть иерархии CA, а аутентификация по сертификату, вообще говоря, может происходить и с кешем CRL, то есть не требует постоянной доступности PA, в отличие от Kerberos.