MIT vuole un Kerberos universale

Il prestigioso istituto annuncia la creazione di un consorzio che avrà il compito di migliorare uno dei protocolli di autenticazione più diffusi al mondo, e farne un meccanismo di sign-on universale

Cambridge (USA) - Il celebre protocollo di autenticazione open source Kerberos avrà presto una nuova casa. Dai laboratori di calcolo del leggendario Massachusetts Institute of Technology (MIT), in cui è nato e cresciuto, si sposterà negli uffici di un consorzio che avrà il compito di sviluppare e promuovere questa tecnologia.

Il MIT ha giustificato questa mossa con la necessità di raccogliere attorno a Kerberos una comunità di sviluppatori e aziende più ampia, una comunità che possa farsi carico della grande mole di lavoro e di risorse oggi richiesta per migliorare, aggiornare ed evolvere uno dei protocolli di autenticazione più diffusi al mondo.

"Oggi che Kerberos è divenuto uno dei metodi di autenticazione più gettonati nella storia delle reti di computer, si fa urgente l'esigenza di farne un meccanismo universale di sign-on capace di soddisfare le esigenze degli utenti", si legge in un comunicato. "Il MIT Kerberos Consortium è stato creato per permettere alle numerose aziende che negli ultimi due decenni hanno adottato Kerberos, di partecipare al suo sviluppo, continuando così quello che in precedenza era nato come un progetto interno del MIT".
Il primo obiettivo del consorzio sarà quello di rendere Kerberos maggiormente interoperabile e di promuoverne l'utilizzo su una più ampia gamma di sistemi operativi, applicazioni, dispositivi embedded e servizi Internet. L'interoperabilità è un tema cruciale per il futuro di questo protocollo: le diverse implementazioni oggi sul mercato sono infatti spesso incompatibili tra loro, rendendo più difficoltosa la federazione di reti differenti.

Kerberos è stato originariamente sviluppato dal MIT negli anni '80, ed è stato pubblicato sotto la licenza open source BSD nel 1987. Da allora il famoso istituto accademico americano ha sempre portato avanti il progetto con i propri mezzi.

Il MIT ricorda come Kerberos sia implementato in tutti i principali sistemi operativi, inclusi Windows, Mac OS X, Solaris e molte distribuzioni di Linux, e ne stima il numero di utenti nell'ordine dei 100 milioni.

Una delle prime società ad aver annunciato la propria adesione all'imminente Kerberos Consortium è Google, che insieme agli altri membri dell'organizzazione potrà influenzare lo sviluppo del protocollo.
6 Commenti alla Notizia MIT vuole un Kerberos universale
Ordina
  • Via dalle balle Active Directory e le tecnologie Micro$oft incompatibili perfino con varie versioni di se stesso...

    Se Kerberos funziona ed è multipiattaforma non c'è nessun motivo di scegliere un sistema operativo server piuttosto che un altro.

    I servizi devono essere portabili e il sistema operativo deve essere liberamente scelto in base alle funzionalità e benefici che li distinguono, non a causa del fatto che una tecnologia che ci gira sopra sia chiusa e sia costoso abbandonarla.
    non+autenticato
  • - Scritto da: Roberto
    > Via dalle balle Active Directory e le tecnologie
    > Micro$oft incompatibili perfino con varie
    > versioni di se stesso...

    ??? Incompatibile??
    E poi AD è basata su LDAP, che è aperto e assolutamente compatibile (posso mettere tranquillamente linux in AD)
    non+autenticato
  • - Scritto da: Anon
    > - Scritto da: Roberto
    > > Via dalle balle Active Directory e le tecnologie
    > > Micro$oft incompatibili perfino con varie
    > > versioni di se stesso...
    >
    > ??? Incompatibile??
    > E poi AD è basata su LDAP, che è aperto e
    > assolutamente compatibile (posso mettere
    > tranquillamente linux in
    > AD)

    Ma (LDAP a parte) la compatibilita' con altri sistemi non e' stata ottenuta per "ingegneria inversa"?
    -----------------------------------------------------------
    Modificato dall' autore il 21 settembre 2007 11.05
    -----------------------------------------------------------
  • - Scritto da: Roberto
    > Via dalle balle Active Directory e le tecnologie
    > Micro$oft incompatibili perfino con varie
    > versioni di se
    > stesso...
    >
    > Se Kerberos funziona ed è multipiattaforma non
    > c'è nessun motivo di scegliere un sistema
    > operativo server piuttosto che un
    > altro.
    >
    > I servizi devono essere portabili e il sistema
    > operativo deve essere liberamente scelto in base
    > alle funzionalità e benefici che li distinguono,
    > non a causa del fatto che una tecnologia che ci
    > gira sopra sia chiusa e sia costoso
    > abbandonarla.

    Active Directory è un database, nè più nè meno. Active directory non è mai stato incompatibile con se stesso nella stessa misura in cui un database non può essere incompatibile con se stesso. E' ovvio che due server Active Directory nello stesso dominio devono avere lo stesso schema esattamente come se dovessi mettere in replica due server di database, non è che uno ha delle tabelle definite che nell'altro non ci sono, prima sincronizzi la struttura e dopo i dati. Per questo motivo (ad esempio), non puoi mettere in dominio un server Windows 2003 Server R2 su una struttura Windows 2003 Server o Windows 2000 Server: semplicemente la versione R2 introduce delle modifiche allo schema che devono prima essere "trasmesse" ai controller AD. Niente di più semplice se si leggessero i manuali e le note...

    Lo schema di active directory può essere espanso da alcuni software che lo richiedono (ad esempio Exchange), ci sono appositi comandi opportunamente documentati in modo che TUTTI lo possano fare se necessario. Io non ho mai visto altri software non MS che lo facciano ma non è detto che non ce ne siano.

    Kerberos è il sistema di autenticazione utilizzato da MS dal Windows 2000 in poi, naturalmente hanno mantenuto la retrocompatibilità mantenendo NTLMv2 che comunque si può "eliminare" se non ci sono più client obsoleti.

    La versione Kerberos di Microsoft è stata presa dal MIT e MODIFICATA poichè (a detta di MS e non solo) aveva alcune lacune. Il fatto che il MIT lo riprenda in mano e lo aggiorni dimostrebbe che effettivamente qualche baco lo aveva. SICURAMENTE, onde evitare ogni stupida polemica, il MIT e chiunque altro lo migliorerà più di quando non abbia fatto MS. C'è da dire che non mi sembra allo stato attuale che il Kerberos di MS sia stato bucato, se qualcuno sa qualcosa a riguardo mi piacerebbe saperlo.

    Adesso quel che è importate è che effetivamente MS e le altre riescano a implementare un protocollo unico poichè sarebbe fondamentale per l'interoperabilità.

    Rispondo anche ad Anon specificando che LDAP è un protocollo di interrogazione ad una struttura di directory, di come sia fatta o funzioni la struttura non importa nulla ad LDAP, basta che rispondi correttamente alle sue interrogazioni. Un qualsiasi client LDAP (anche su linux) infatti può interrogare la struttura AD di MS.

    Tornando al discorso principale, perchè ti ho scritto tutto questo? perchè sei il solito sfigato che parla senza sapere, adesso che sai qualcosa (qualcosa, non tutto) puoi provare a postare qualcosa di più costruttivo.
    non+autenticato
  • Ma Linux per interfacciarsi con AD e il suo kerberos modificato ha bisogno di pacchetti che sono stati creati con reverse engineering (Samba), perché Micro$oft ha preso, esteso e chiuso la sua implementazione, e poi va a minacciare in giro le aziende perché usano Linux che a detta loro avrebbe copiato la sua implementazione di Kerberos che lei ha a sua volta preso da quella MIT!!
    non+autenticato
  • - Scritto da: Lillo
    > Ma Linux per interfacciarsi con AD e il suo
    > kerberos modificato ha bisogno di pacchetti che
    > sono stati creati con reverse engineering
    > (Samba), perché Micro$oft ha preso, esteso e
    > chiuso la sua implementazione, e poi va a
    > minacciare in giro le aziende perché usano Linux
    > che a detta loro avrebbe copiato la sua
    > implementazione di Kerberos che lei ha a sua
    > volta preso da quella
    > MIT!!

    IMHO hai perfettamente ragione dal punto di vista morale, ma la licenza di BSD lo permette quindi è tutto lecito, purtroppo anche le minacce (fottute pratiche commerciali degne della peggior mafia, ma non sono gli unici).

    ma il reverse engineering non è lecito se per fini di compatibilità (solo in EU)?
    non+autenticato