Re: LDAP

To: debian-russian@lists.debian.org
Subject: Re: LDAP
From: Артём Н. <artiom14@yandex.ru>
Date: Sun, 15 Apr 2018 14:05:33 +0300
Message-id: <[🔎] 5ca6c0e4-8db7-0512-c25a-3b0d864ffa84@yandex.ru>
In-reply-to: <[🔎] 20180415090556.tgeyzk3uigcke2em@debian>
References: <[🔎] f7e6cea9-26ce-151d-b00c-efe0e4add853@yandex.ru> <[🔎] 20180415090556.tgeyzk3uigcke2em@debian>

On 15.04.2018 12:05, Коротаев Руслан wrote:

В сообщении от [Сб 2018-04-14 23:00 +0300]
Артём Н. <artiom14@yandex.ru> пишет:

Хочу сделать так, чтобы все сервисы на NAS централизованно получали
данные о пользователях. Решил это реализовать через LDAP. Почитал.
Вроде, теоретически понятно, а практически как-то не очень, бьюсь с
LDAP уже немало.

- Оправданно ли вообще использование LDAP в таком случае?


Рекомендую RADIUS (FreeRADIUS есть в репозитории).

Смотрел его, и так понял, что он мне не нужен.

Вы очень мало
написали о сути проблемы, поэтому поделюсь своим решением, возможно оно
и вам поможет.

Фактически, писать тут особо нечего.

Есть n сервисов, поддерживающих LDAP из коробки, и m пользователей, которые хотят пользоваться
частью сервисов и, возможно, иметь личный каталог в ФС.
Надо это реализовать.
Логично, что управлять пользователями надо централизованно.

Задача дальнего будущего - на внешних машинках авторизоваться с LDAP сервера, который крутится в NAS.

Проблема: дома есть NAS, на котором крутятся сервисы раздачи файлов и
мультимедиа по разным протоколам. Для себя и домашних проблем нет,
подключаемся и получаем к ним доступ. Но что если пришли гости и просят
WiFi, вряд ли вы хотите чтобы они увидели что-то вроде «Жесть. Отжигаю в
Турции».

Очевидное решение: сделать на роутере два VLAN — домашний и гостевой, и
защитить паролем. Однако, пароля будет недостаточно, когда вас не будет
дома, бабушка наверняка их перепутает. Поэтому нужен RADIUS, он есть
даже в самом дешевом китайском роутере.

Схема сложновата.
В моём случае, NAS - вещь в себе.
Я могу всё поднять на нём.

- Как настроить его так, чтобы был TLS (в перспективе будет торчать
"наружу") с самоподписанным сертификатом?


Да, аутентификация по сертификату есть, если вы купите у своего
провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты,
можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS.

Да, белый IP уже есть, но для того, чтобы отличать VPS нужны доменные имена.
Я могу использовать динамический DNS и диспетчер на nginx-proxy.
Однако сейчас я пробрасываю порты.

Имея белый IP-адрес, вы можете подключить IPv6, например через NAT64
[1]. Вы уже не будете ограничены домашней сетью и сможете давать доступ
к своим сервисам на различных VPS исходя из IPv6-адреса.

Вот тут пока сложно: с IPv6 я только ознакомился, практически же не работал с ним.

В общем политика безопасности очень простая — получил IP-адрес (любой
IPv4 и/или IPv6), значит прошел аутентификацию и можно давать доступ,
дальше всё реализуем через файрвол.

В смысле?
Любой, знающий IP, считается "прошедшим аутентификацию"?
Не вариант.

Если возможностей RADIUS-сервера будет не достаточно, то можно
прикрутить к нему LDAP, но это скорее для крупных компаний, для дома это
лишнее.

[1]: https://blog.kr.pp.ru/post/2017-12-12/

Я бы с удовольствием не парился с LDAP, но его поддерживают gitlab, OMV, urbackup, etc.

Reply to:

Follow-Ups:
- Re: LDAP
  - From: Коротаев Руслан <subscribe@mail.kr.pp.ru>

References:
- LDAP
  - From: Артём Н. <artiom14@yandex.ru>
- Re: LDAP
  - From: Коротаев Руслан <subscribe@mail.kr.pp.ru>

Prev by Date: Re: LDAP
Next by Date: Re: LDAP
Previous by thread: Re: LDAP
Next by thread: Re: LDAP
Index(es):
- Date
- Thread