Single sign-on для маленьких
Sep. 30th, 2021 09:44 am![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
vitus_wagnerОказывается, в prosody появился mod_auth_dovecot. То есть в джаббере теперь не только идентификатор пользователя совпдает с его E-Mail-ом, но и пароль можно проверять об почтовый (IMAP) сервер. Благо сервер отправки почты (postfix) у меня давно через dovecot-овский SASL-работает.
Вот только для http-шных ресурсов я что-то не вижу такой возможности. Тот mod_authn_sasl, который лежит на sourceforge заброшен уже 10 лет как. В дистрибутиве, тем не менее есть.
А так, вообще что-то в этой идее есть - перевести все ресурсы, требующие авторизации, на использование dovecot-овского sasl. Во всяком случае будет понятно, как пароль менять в случае чего. Забавная, конечно при этом цепочка будет у radicale - клиента будет аутентифицировать фронтэнд-прокси, передавая запрос почтовому серверу. А сам radicale будет доверять REMOTE_HOST, выставленному этим сервером. Это при том что основаня работа radicale - хранить список контактов для электронной почты и календарных событий. которые тоже через почту менеджатся.
Почему "для маленьких" - потому что это решение интересно там, где разворачивание полноценного LDAP-сервера не имеет смысла.
Хотя, конечно, использование почтового пароля в другом клиентском софте (который имеет привычку его запоминать, впрочем почтовые клиенты этим тоже грешат) несколько повышает вероятность его утечки. А менять придется во всех клиентах по отдельности.
