OpenID PAM-Modul

Ich bin auf der Suche nach einer PAM-Modul zur Nutzung von OpenID zu tun, die Authentifizierung. Meine Idee ist, dass ich möchte, um die Anmeldung meiner Linux-box mit meinem gmail-Konto und Kennwort. Ich fand es ist ein open-source-Projekt in der Google-Code-das scheint zu sein, die Dinge tun, die ich will, aber ich sehe keinen code, der zum download zur Verfügung.

Sah ich es gibt so viele Beispiele oder Implementierungen, aber Sie sind alle über die web-apps. Ist es nicht-web-basierte OpenID-Anwendungen in der Welt? Ist es technisch möglich, eine nicht-web-basierte OpenID-Anwendung? Ich naiv zu denken, dass es möglich sein sollte. Ich kann emulieren, was auch immer-Pakete, die der browser senden, um die OpenID-Anbieter und erhalten Sie das Ergebnis. Solange meine Linux-box mit dem Internet verbunden ist, ich sollte in der Lage sein, um meine OpenID zum login.

Schätzen alle Kommentare, Vorschläge oder Hinweise, wie man eine OpenID-PAM-Modul.

Dank!

  • Wie würde der OpenID provider muss der Nutzer bestätigen Sie die Nachfrage?
  • Bin ich komplett Missverständnis einige foundamental Konzept? Ich habe bereits ein gamil account [email protected]. Gmail ist meine OpenID-provider. Kann ich konfigurieren mein OpenID-PAM-Modul zu verwenden gmail.com als OpenID-provider. Dann kann ich die Anmeldung meiner Linux-box, indem Sie "[email protected]" als Benutzernamen und geben Sie dann in mein gmail-Konto Passwort. PAM-Modul Kontakt gmail.com und gmail.com kann natürlich bestätigen, meine Anfrage, weil es weiß, dass meine [email protected] Konto und weiß mein Passwort. Gmail.com bestätigt, wenn die Anmeldeinformationen gültig ist.
  • Es ist unmöglich, eine sichere, nicht-web-openid-Authentifizierung für einen einfachen Grund: OpenID, hängt von der Tatsache, dass Sie wissen, Sie sind mit dem Anbieter. In allen anderen Fällen, eine relying party (zB. das pam-Modul) könnte das abfangen von login und Passwort, und das wollen Sie nicht. Da nicht-web-apps kann man nicht trauen, um nicht abfangen Verkehr/Tastenanschläge, die Sie nicht umsetzen können openid außerhalb des web. Für ein pam-Modul, es gibt ein weiteres problem: die Authentifizierung mit ein-Anbieter-Interaktion mit dem Benutzer erforderlich. Gmail nicht wissen, es sei denn, Sie geben Sie Ihr Passwort ein.
  • Ich habe gerade heruntergeladen DotNetOpenAuth dotnetopenauth.net. Ja, es ist .NET-code, und ich bin primär ein .NET-Programmierer. Ich lief nur ein ASP.NET Probe. Kann ich meine webapp auf meinem lokalen Rechner mit OpenID zu authentifizieren, mich mit yahoo und Google Mail-Konto. Die lokale webapp hat die URL localhost/xxxx. Es scheint mir, dass sowohl Google Mail und yahoo Vertrauen können, etwas, das von localhost. Wenn das der Fall ist, wird das PAM-Modul emulieren kann die web-app zu tun, die Kommunikation mit dem OpenID-provider, einschließlich der Benutzer-Interaktion Teil. Ich bin völlig off base?
  • Es ist nicht das Problem des Anbieters Vertrauen in die relying party. Das problem ist, dass der Benutzer hat, ihm zu Vertrauen. Im Grunde, was auch immer Sie tun, Sie können nicht garantieren, dass Ihre user, dass Sie Ihre pam-Modul nicht stehlen sein Passwort. Ein weiteres Problem ist, dass, da es keine einheitlichen Authentifizierungsmechanismus unter den Anbietern, würden Sie immer noch benötigen zum anzeigen einer interaktiven browser-Fenster. Ich glaube nicht, dass pam-Module interaktiv sein können, wenn. Drittes Problem: das Modul müsste ein http-server, um in der Lage zu Antworten.
  • Danke! Wenn Sie fügen Sie den letzten Kommentar als Antwort, ich werde es akzeptieren.
  • (2) Wenn Sie nicht Vertrauen Ihre Systemadministratoren installiert haben, die einen vertrauenswürdigen Authentifizierung-Modul, deshalb trauen Sie Ihnen nicht manipuliert die web-browser auf Ihre Daten stehlen?
  • (1) Viele praktische Anwendungen würden nur benötigt, um die Arbeit für ein ID-provider-wie viele Organisationen wählen, die nur 1 externen Anbieter, mit zu arbeiten, z.B. Google für die Arbeit.

InformationsquelleAutor Harvey Kwok | 2010-12-30
  1. 6

    Ich kann misundertood die Anfrage, aber Google (zum Beispiel) bieten eine Möglichkeit, Client-Seite und installierte Anwendung zu authentifizieren, die über die Google-API mit OpenAUTH 2.0-standards.

    Wie Sie sehen können, in Die Verwendung von OAuth 2.0 für Installierte Anwendungen oder sogar mehr in Die Verwendung von OAuth 2.0 für die Geräte.

    Bist du ja noch brauchte, um browser-Interaktion etc, aber, python sowie ASP.NET sind in der Lage, die Handhabung des web-Anfrage und für den Linux-Teil, Gnome, auch durch die WebKitGTK+ - tools.

    Kann es sein führen für Ihre Forschung.

    Oh, und übrigens, über WebServices und OpenID etc., das pam-Modul sein könnte, schreiben in Python (für WebServer) und integriert werden zu Gnome 3.2 zu leicht (Auch Python zu modificate Gnome-Keyring-API) UND in ASP.NET für die windows-Seite.

    Aber noch einmal, ich bin kein Spezialist in dieser Frage, gerade weit interessiert. 😉

    • Nur ein wenig Bearbeiten, zeigen dies sehr gute Nachrichten: Google release nur einen Weg, um zu autorisieren, Dienste für die Kommunikation mit API, ohne Benutzer-Interaktion - hier
    InformationsquelleAutor Dr I
  2. 1

    Es ist nicht das Problem des Anbieters Vertrauen in die relying party.

    Das problem ist, dass der Benutzer hat, ihm zu Vertrauen.

    Es gibt jedoch drei andere Fragen:

    1. Was auch immer Sie tun, Sie können nicht garantieren, dass Ihre user, dass Sie Ihre pam-Modul nicht stehlen sein Passwort.
    2. Da es keine einheitliche Authentifizierung-Mechanismus unter den Anbietern, würden Sie immer noch benötigen zum anzeigen einer interaktiven browser-Fenster. Ich glaube nicht, dass pam-Module interaktiv sein können, wenn.
    3. Das Modul müsste ein http-server, um in der Lage zu Antworten.
    • Aus eurer Erfahrung, wie oft wird der OpenID-Anbieter (z.B. Google oder Yahoo) ändern Sie Ihre Authentifizierung Schnittstelle? In Naher Zukunft, wird der OpenID-provider kommt mit einigen standardisierte Authentifizierungs-Mechanismus?
    • Meiner Meinung nach, es geht nicht um die Authentifizierung Schnittstelle von einem einzigen Anbieter-es ist über, dass Sie nicht vielleicht implementieren Sie die Schnittstelle für alle Anbieter vorhanden ist. Soweit ich weiß, gibt es keine Pläne beinhalten eine standard-Authentifizierung-Mechanismus für die Anbieter in den OpenID-standard. Allerdings bin ich nicht der richtige Ansprechpartner. Sie würden wahrscheinlich besser beantworten von Fragen auf der OpenID Mailingliste oder an einem anderen Ort direkt mit der OpenID Foundation.
    • +1 Danke für all Eure Informationen 🙂
    InformationsquelleAutor Mewp
  3. -3

    Ich fand dieses.
    JumpCloud

    Es aussieht wie es könnte den trick tun, wenn Sie LDAP verwenden.

    Ok, die Idee JumpCloud ist, dass Sie die LDAP-zu-Google-OAUTH-Verbindung, so dass, wenn Sie Einrichtung Ihres Systems für die Authentifizierung über LDAP, aber setzen Sie es um zu überprüfen, JumpCloud LDAP, und nicht auf Ihrem lokalen system, dann sollten Sie in der Lage sein, um eine Anmeldung mit einem Google-domain-Konto.

    • Die Frage ist nicht toll, aber ich sehe nicht, wie dieser service hilft, dass ein PAM-Modul in Linux.
    • Obwohl das hinzufügen einen link zu Ihrer Beantwortung ist eine gute Idee, Sie sollten immer versuchen, und fügen Sie weitere Beschreibungen zu Ihrer Antwort, sofern der link nicht mehr in Verwendung ist zu einem späteren Stadium, in dem Fall wäre die Antwort weiter zu sinnlos.
    • Ok, die Idee JumpCloud ist, dass Sie die LDAP-zu-Google-OAUTH-Verbindung, so dass, wenn Sie Einrichtung Ihres Systems für die Authentifizierung über LDAP, aber setzen Sie es um zu überprüfen, JumpCloud LDAP, und nicht auf Ihrem lokalen system, dann sollten Sie in der Lage sein, um eine Anmeldung mit einem Google-domain-Konto.
    InformationsquelleAutor No Substitute
Schreibe einen Kommentar