Модуль OpenID PAM
Я ищу модуль PAM, который может использовать OpenID для проверки подлинности. Моя идея состоит в том, что я хочу войти в свой ящик Linux, используя мою учетную запись gmail и пароль. Я обнаружил, что в Google Code есть проект с открытым исходным кодом, который, кажется, делает то, что я хочу, но я не вижу ни одного кода, доступного для загрузки.
Я видел, что есть очень много примеров или реализаций, но они все о веб-приложениях. Есть ли в мире какие-либо не-веб-приложения OpenID? Технически возможно сделать приложение OpenID без веб-интерфейса? Я наивно думаю, что это должно быть возможно. Я могу эмулировать любые пакеты, которые браузер отправляет поставщику OpenID, и получать результат. Пока мой компьютер с Linux подключен к Интернету, я могу использовать свой OpenID для входа в систему.
Примите во внимание любые комментарии, предложения или указатели о том, как сделать модуль OpenID PAM.
Спасибо!
3 ответа
Я могу неправильно понять запрос, но Google (например) предоставляет способ, позволяющий клиентской стороне и установленному приложению выполнять аутентификацию через API Google с использованием стандартов OpenAUTH 2.0.
Как вы можете увидеть в Использование OAuth 2.0 для установленных приложений или даже больше в Использование OAuth 2.0 для устройств.
Да, вам все еще нужно использовать взаимодействие с браузером и т. Д., Но Python, а также ASP.NET способны обрабатывать веб-запросы и для части Linux, а также для Gnome с помощью инструментов WebKitGTK+.
Это может быть лидером для вашего исследования.
Да, и, кстати, насчет WebServices, OpenID и т. Д., Модуль pam можно написать на Python (для части WebServer) и легко интегрировать в Gnome 3.2 (также Python для модификации API Gnome-Keyring), а также в ASP.NET для сторона окон.
Но еще раз, я не специалист по этому вопросу, просто очень заинтересован.;-)
Дело не в том, что поставщик доверяет доверяющей стороне.
Проблема в том, что пользователь должен доверять этому.
Есть, однако, три других вопроса:
- Что бы вы ни делали, вы не можете гарантировать своему пользователю, что ваш модуль pam не украдет его пароль.
- Поскольку среди провайдеров нет единого механизма аутентификации, вам все равно нужно отобразить интерактивное окно браузера. Я не думаю, что модули PAM могут быть интерактивными, хотя.
- Модуль должен быть http-сервером, чтобы иметь возможность получать ответы.
Я нашел это. JumpCloud
Похоже, что это может помочь, если вы используете LDAP.
Хорошо, идея JumpCloud состоит в том, что они обеспечивают соединение OAUTH LDAP-Google, поэтому, если вы настраиваете систему для аутентификации через LDAP, но настраиваете ее для проверки LDAP JumpCloud, а не локальной системы, то вы должны иметь возможность войти, используя учетную запись домена Google.