PAPI Archivos

The PAPI authentication and authorization framework

PAPI@LISTSERV.REDIRIS.ES

Opciones: Vista Clásica

Use Monospaced Font
Por defecto enseñar Text Part
Esconda cabeceras de correo

Tema: [<< Primero] [< Prev] [Siguiente >] [Último >>]

Print Responder
Received: by LISTSERV.REDIRIS.ES (LISTSERV-TCP/IP release 14.5) with spool id 642446 for [log in para visualizar]; Mon, 12 Feb 2007 23:23:39 +0100 from rediris.es (chico.rediris.es [130.206.1.3]) by listserv.rediris.es (Postfix) with ESMTP id B5FD05C61E for <[log in para visualizar]>; Mon, 12 Feb 2007 23:23:38 +0100 (CET) from [10.8.0.38] (login.rediris.es [130.206.1.21]) by chico.rediris.es (Postfix) with ESMTP id 91854453C1 for <[log in para visualizar]>; Mon, 12 Feb 2007 23:23:38 +0100 (CET)
Content-Type: text/plain; charset=ISO-8859-1; delsp=yes; format=flowed
Date: Mon, 12 Feb 2007 23:23:36 +0100
Mime-Version: 1.0 (Apple Message framework v752.2)
Reply-To: The PAPI authentication and authorization framework <[log in para visualizar]>
Emisor: "Diego R. Lopez" <[log in para visualizar]>
Sender: The PAPI authentication and authorization framework <[log in para visualizar]>
Content-Transfer-Encoding: quoted-printable
X-Mailer: Apple Mail (2.752.2)
Parts/Attachments: text/plain (67 lines)
Hola,

On 12 Feb 2007, at 11:57, Roberto S. G. wrote:
> nada, nada, lo de las cookies no es urgente, ni muchsimo menos; ni  
> te preocupes. Como si no lo hubiera mencionado.

En cualquier caso, apuntado queda para una proxima version.

> En cuanto a lo de PAPI_Filter, parece que funciona aplicando la  
> regexp sobre el nombre de usuario solamente... (no contra el ID del  
> PoA o alguna otra cosilla... o no s hacerlo).

Todos los filtros de control que se pueden poner en PAPI se aplican  
sobre los datos acerca
del usuario que se transmiten entre el AS y el PoA en el momento en  
que se pide el acceso.
Estos datos (que en la documentacion de PAPI se denomina asercion <=>  
"assertion") los
genera el AS a partir de la configuracion que tengas: puedes usar  
uid, grupo, rol en
la organizacion...

> Me he fijado que con "Cookie_Reject id_del_PoA" podra rechazar el  
> otro PAPI... si no fuera porque parece que PAPI sustituye el valor  
> antes de chequear las cosas dentro de <PAPI_Local>... :
>
> [Mon Feb ** ****** 2007] [warn] [client ******]  
> PAPI#4672_1171277055: Service_ID parameter of Lcook is not valid:\n  
> Serv of Lcook=#PoA_piu#, Serv of PoA=#PoA_mtoinformatico#
> [Mon Feb ** ****** 2007] [warn] [client ******]  
> PAPI#4672_1171277055: Service_ID of Hcook is not valid:\n Serv of  
> Hcook:#PoA_piu#, Serv of this PoA:#PoA_mtoinformatico#

Un PoA PAPI y otro PoA PAPI no comparten nada, ni se envian datos  
entre ellos. Lo unico
comun entre ellos (si estan configurados asi) es que confian en los  
datos acerca de
un usuario que les mandan los ASes que reconocen o el GPoA del que  
dependen. Por eso
usar un identificador de PoA en un filtro no tiene sentido en ese  
contexto, aunque eso
que describes puede ser un efecto lateral no previsto.

> Bueno, no pasa nada... con el PAPI_Filter por fortuna me puedo  
> arreglar.

Yo te recomendaria que le echaras un vistazo a la descripcion del  
protocolo PAPI que
puedes encontrar en http://papi.rediris.es/doc/ 
PAPI_Protocol_Detailed.pdf

Un saludo,

--
"Esta vez no fallaremos, Doctor Infierno"

Dr Diego R. Lopez

Red.es - RedIRIS
The Spanish NREN

e-mail: [log in para visualizar]
jid:    [log in para visualizar]
Tel:    +34 955 056 621
Mobile: +34 669 898 094
-----------------------------------------

ATOM RSS1 RSS2