sslug-teknik team mailing list archive

[Björn Lundin <b.f.lundin@xxxxxxxxx>]

5 nov 2011 kl. 10.22 skrev Jon Bendtsen:

>> när man slår mot det EXTERNA ad:t (slaven), men fungerar bra när man
>> slår mote det INTERNA ad:T (master)
> 
> Ja, det kan jeg godt se ikke virker.

Men kan man fixa det?

> 
>>> Hvis jeres AD giver certifikater til hver eneste bruger så kan jeres subversion server bare kræve et client certifikat som så skal installeres på jeres SVN clienter.
>> 
>> Hmm, detta är över min egen nivå, vill du utveckla lite?
> 

> certifikater kan bruges som en del af 2-faktor auth, i det at certifikatet er noget du har. Men det betyder også at alle som har bare en kopi af dit certifikat har din adgang... det plejer man at løse ved at kræve et password ved adgang til sit certifikat når det ligger på ens PC. Man kan også bruge USB dimser hvor den private nøgle er låst inden I så man ikke kan få den ud.
> 

Detta betyder alltså att alla anställda behöver ett cert + alla test/prod maskiner hos kund 
också behöver ett cert.  USB-vägen funkar inte på prod, pSeries maskiner har sällan usb.

Det betyder att certet kan gå ut, när man behöver det som bäst...

Jag hade hoppats på ett svar i linje med
'Visst kan man spegla ett MS AD till en slav, och ändå kunna läsa det via apaches auth modul,
du har bara missat följande tweak...'

Jag är bara 'dum' användare här, så jag får gräva mer, och försöka hjälpa vår (ms-inriktade) interna IT...

tack för infon
/Björn