Re: sistema di autenticazione ldap su server debian
stefano scrisse in data 08/03/2012 16:17:
> Allora, grazie alle vostre esaustive risposte inizio ad avere la
> situazione più chiara e pure quello che voglio fare. vi riassumo e vi
> espongo un quesito finale.
>
> La LAN dispone di un unico server debian squeeze che fa da gateway,
> dhcp server, server proxy squid, apache, server samba, ldap server. Al
> suo interno è presente una cartella con alcune risorse didattiche per
> studenti e docenti.
> I client sono sia i pc presenti nell'aula che portatili esterni che
> possono venire e connettersi alla rete. Nell'aula i pc sono ubuntu
> mentre quelli esterni sono in maggior parte Windows e talvolta Mac.
> La tipologia dell'utenza è varia:
> studenti della facoltà di infermieristica che possono consultare
> internet, accedere alle risorse didattiche presenti sul server e avere
> a disposizione una loro home utente;
> studenti della facoltà di medicina che possono consultare internet ma
> che NON possono accedere alle risorse didattiche sul server e NON
> possono avere la loro home utente;
> docenti che possono consultare internet, accedere alle risorse
> didattiche e avere la loro home utente;
> personale amministrativo che può consultare internet soltanto con la
> loro home utente;
> un numero ridotto di utenti (amici) che possono solamente connettersi
> a internet;
>
> Può essere che gli stessi studenti, sia di infermieristica che di
> medicina, si presentino con i loro portatili (win o mac) e vorrei che
> anche in questo caso possano collegarsi alla rete con le loro
> credenziali e con i rispettivi permessi citati prima e che (per quelli
> di infermieristica) possano comunque avere accesso alla loro home utente.
> la stessa cosa per i docenti che avranno i loro portatili (win o mac)
> e che potranno consultare qualsiasi sito internet, accedere alle
> risorse didattiche sul server e alla loro home utente.
>
> Ho installato ldap sul server ed ho iniziato ad inserire i gruppi di
> utenti e procedo con l'inserimento degli utenti per gruppo. ho
> installato e configurato NSS e con getent posso visualizzare anche le
> utenze e i gruppi presenti in LDAP.
> Ora sono fermo a PAM.
>
> Non ho ancora capito una cosa: devo mettere mano su ogni client oppure
> esiste un modo con cui da qualsiasi postazione, che sia in aula o
> portatile, una volta ottenuto l'IP, si presenti la schermata di login
> alla rete e che a seconda delle credenziali inserite l'utente abbia in
> automatico i permessi o meno sulla consultazione delle cartelle nel
> server, le restrizioni o meno sulla consultazione dei siti e l'accesso
> alla propria home?
Anzitutto configurerei il server samba come pdc; i pc dell'aula
informatica li legherei al dominio e in questo caso devi mettere mano a
PAM su quei client. In questo modo soltanto chi ha un account del
dominio può fare il logon sui pc dell'aula. Per quanto riguarda gli
altri pc esterni possono sempre sfogliare le risorse messe a
disposizione dal PDC e quindi accedere ad esse solo se conoscono
username e password.
Ora invece non ho ben capito come vuoi invece gestire l'accesso
all'infrastruttura di rete. Anzitutto parliamo di rete wireless? Se non
è wireless e non è in un luogo pubblico potresti semplicemente
permettere a chiunque abbia a disposizione di un cavo di rete di
collegarsi ad internet (squid in modalità trasparente), sfogliare la
rete e, se conosce username e password, accedere anche alle risorse del
pdc. Se invece trattasi di wireless allora dovresti installare anche un
server radius che autentica gli utenti via ldap.
Ciao
Piviul
Reply to: