Re: ldap and unix users
27 марта 2012 г. 21:57 пользователь volk@lab127.karelia.ru
<volk@lab127.karelia.ru> написал:
> Здравствуйте!
> Задача:
> Есть сервер squeeze, где есть ряд unix учетных записей.
> Для одного из корпоративных приложений требуется ldap аутентификация.
> Хотелось бы, чтобы пользователь мог заходить на сервер по ssh и управлять
> приложением используя одну и ту же учетную запись (сменил пароль, он
> меняется и там и там).
> Решение состоит в использовании ldap для аутентификации по ssh.
> Приложение unix записями оперировать не может.
>
> Я не разбираюсь в том, как система unix пользователями оперирует, поэтому
> вопрос.
> Можно ли сделать так, чтобы все пользователи были в ldap, но при этом можно
> было бы добавлять их в группы, созданные командой addgroup <group name> и в
> стандартные группы типа www-data, mail, etc.
> При этом если есть unix учетная запись, то можно было бы входить и под ней.
>
> Как сделать?
Пилил подобное, но для kerberos, без ldap.
Можно посмотреть [1] и [2].
Если завести пользователя в каталоге и настроить PAM на работу с
каталогом, то везде будет одна учетная запись. А вот с группами есть
такая мысль, но тут надо будет администрировать аккуратно.
Если завести пользователя сначала в локальной базе операционной
системы, как это делается обычно, а потом отдельно в каталоге, то
получается дублирование учетных записей. Это может оказаться полезно.
Если PAM и sshd будет работать и по каталогу и по локальной базе
пользователей одновременно, то для разных баз пользователей с одним
именем будет одно пользовательское пространство. Тогда можно выполнять
манипуляции с группами локальной базы пользователей и входить через
каталог. Так же можно входить и по базе каталога и по базе локальных
пользователей, при том, что пароли у них могут быть как разные так и
одинаковые.
Коллеги, не слишком абсурдно? Можно как-то иначе?
--
[1] http://wiki.debian.org/LDAP/Kerberos#Client_Login_Setup
[2] http://wiki.debian.org/LDAP/PAM
Reply to: