Re: Sicherheitskonzept eines neuen Servers
Moin,
On Mon, 21 Nov 2005 23:00:25 +0100
Udo Mueller <info@cs-ol.de> wrote:
> > > Alternativ hätte ich noch die Idee, den Server über Samba, der ja
> > > eh läuft, als PDC einzurichten und damit (also auch für die
> > > Linux-Clients) die Authentifizierung zu machen.
> > > Was ist von der Idee zu halten?
> >
> > Geht das ueberhaupt?
Ja, wenn der Rechner einmal an der Domäne angemeldet ist, haben die
Domänen-Benutzer gemappte UNIX-UIDs und -GIDs, denen Du auch
Verzeichnisse zuordnen kannst (zumindest ist es so, wenn Du die Kiste in
ein Active Directory integrierst - kürzlich gemacht); und per smb.conf
kannst Du das /home-Verzeichnis festlegen. z.B. template homedir =
/home/%U oder /home/%D/U (für Domänen-Name/username).
> > Ich wuerd ja eher LDAP nehmen und den
> > Samba-Server da mit ranknueppern. Aber ich hab sowas auch noch nie
> > gemacht...
>
> Kann ich nur empfehlen. Windows und Linux-Login k_nnen _ber LDAP
> abgedeckt werden. Desweiteren auch noch Sachen wie Email etc.
Hmm, ok, wenn Ihr "alle" der Meinung seid, dass LDAP der richtige Weg
ist, werde ich mich da mal mit befassen (Aber die zentrale Anmeldung
lege ich erstmal etwas nach hinten, die anderen Sachen haben Priorität.
:)). Ich hatte mir das vor einigen Jahren mal angeguckt und kann mir nur
grob an eine komplizierte Einrichtung erinnern; aber das ist auch schon
lange her. Vorab: Hätte da jemand eine gute HowTo-Empfehlung?
> > Aber prinzipiell kann auch der sshd gehackt
> > werden und dann hat derjenige Voll-Zugriff auf den Server.
>
> Und das ist der Grund, warum man sensible Daten nicht auf einen
> Rechner legt, der direkt aus dem Internet zugreifbar ist.
Deswegen würde ich den Port ja gerne on demand mit meinem Handy öffnen.
:) Aber falls das mit xring aus irgendeinem Grund nicht klappen sollte,
glaube ich, dass ich mit dem sshd-Filter auch recht sicher bin, wenn der
nach der 3. falschen Anmeldung blockt.
--
Best regards...
Ace Dahlmann
Reply to: