[ipv6-tf] dibbler tylko dla wybranych

Tomasz Mrugalski thomson w klub.com.pl
Śro, 29 Kwi 2009, 00:39:51 CEST 

On Mon, 27 Apr 2009 somebody known as Lukasz Stelmach wrote:

> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Dzień dobry.
>
> Jak skonfigurować dibblera by przyznawał adres *tylko* wybranym maszynom?
>
> Wybranym, przez wpisanie adresu ll lub duid-a do pliku konfiguracyjnego,
> mocne uwierzytelnianie zostawiam sobie na później. Dotychczasowe
> eksperymenty się nie powiodły. Gdy w obrębie interfejsu tworzyłem
> pulę adresów i kilka hostów to jeżeli komputer nie był jednym
> ze wskazanych dostawał adres na zasadach "ogólnych" czyli z puli.
> A bez puli dibbler nic nie chce przyznawać.
Kontrola dostępu to temat, którym nigdy nie miałem czasu zająć się na 
poważnie w rozwoju dibblera. Dlatego na przestrzeni 6 lat powstało pare 
różnych podejść. Kiedyś wypadałoby zrobić z tym porządek i przepisać ten 
kawałek kodu na nowo. Niestety, ze względu na różne sprawy (czyt. dyplom), 
nie zapowiada się, żeby to nastąpiło szybko.

Ok, kontrola dostępu w Dibblerze:
1. white-list/black-list - Możliwe jest zdefiniowane dostępu tylko dla 
wybranych klientów. Można używać DUIDów lub adresów link-local. Zobacz 
User's Guide, sekcje 3.10 (wyjaśnienie) oraz 4.7.6 (przykład). To 
najstarszy feature (będzie już z 6 lat) i całkiem możliwe, że od dawna 
nie działa :)

2. Exceptions - większość klientów dostaje jakiś parameter, ale dla 
niektórych zarezerwowane są specjalne wartości opcji lub adres. Zobacz 
User's Guide, sekcja 4.7.12 (przykład).

3. Client classification - tu sie zaczyna waga ciężka. Można zdefiniować 
sobie klasy klientów i na podstawie różnych parametrów zapytań klientów 
przydzielać ich do różnych grup. Kontrolę dostępu można robić na poziomie 
grup. Ten feature wszedł niedawno, w dibblerze 0.7.3. Polecam lekturę 
sekcji 3.4.

4. Autentykacja i autoryzacja - to już w ogóle eksperymentalna jazda. 
Wyszedł sobie draft, który mówił, jak zrobić autoryzację za pomocą 
współdzielonych kluczy. Draft się przedawnił, ale implementacja została. 
I nawet działała, jak to sprawdzałem jakiś czas temu. Polecam sekcję 3.9 
User's Guide'a.

To chyba na tyle. W razie problemów, proszę o wpisywanie bugów do 
bugzilli, albo jeszcze lepiej patche. Jak zwykle zachęcam też do 
zapoznania się z dokumentacją. Tam jest ponad 70 stron opisów, wyjaśnień i 
przykładów.

Na koniec życzę miłego używania Dibblera :)

Pzdr,
-- 
Tomasz Mrugalski,              A: Because it messes up the order in which people read text.
thomson(at)klub(dot)com(dot)pl Q: Why is it such a bad thing?
                                A: Top-posting.
 			       Q: What is the most annoying thing in e-mail?

Więcej informacji o liście ipv6-tf