Re: Centralne zarządzanie użytkownikami - nowy system

To: debian-user-polish@lists.debian.org
Subject: Re: Centralne zarządzanie użytkownikami - nowy system
From: Jerzy Patraszewski <sm0q@pbw.edu.pl>
Date: Tue, 16 Jan 2007 08:45:51 +0100
Message-id: <[🔎] 20070116084551.215decb1@laptop.workgroup>
In-reply-to: <[🔎] 000901c738fe$47fe8660$0a00a8c0@atholonpc>
References: <[🔎] 000901c738fe$47fe8660$0a00a8c0@atholonpc>

Jak doniosły WSI, dnia Tue, 16 Jan 2007 00:38:37 +0100
Jarek Buczyński <jaro80@gmail.com> napisał(a):

> Witajcie
> 
> Po pewnych doświadczeniach z Linuksem i użytkownikami dochodzę do
> wniosku że pojawia się pewien problem zarządzaniem loginam i hasłami.
> Widać to szczególnie w przypadku samby, ftp i innych usług. Chodzi o
> ze dochodzi do sytuacji gdzie jeden użytkownik ma przykładowo dwa
> loginy do usług różne hasła itd.
> 
> Czy jest możliwość aby sobie z tym w prosty sposób poradzić? Jeżeli
> ktoś doświadczył (a na pewno tak)proszę o jakąś poradę. Słyszałem o
> LDAP, Kerberos, PAM ale nigdy z tego nie korzystałem i nie wiem jak
> wygląda współpraca z przykładowo ftp, sambą... itd.
> 
> Co możecie polecić jako bezpieczne, niezawodne rozwiązanie?
> 
> --
> Pozdrawiam
> 
Witam, 
Proponuje coś takiego (u mnie dobrze działa):
- Dane użytkowników, grup (istotnych), usług i co tam jeszcze chcesz w
katalogu LDAP 
- Samba jako kontroler domeny dla klientów windowsowych (z NTML2) -
ładnie współpracuje z LDAP'em (po SSL'u też),
- Postfix - też ładnie współpracuje z LDAP'em,
- courier - też (przez courier-authdaemon'a)
- Squid - też (jeżeli używasz autentykacji na proxy)
- własne CA (chyba że masz certyfikat) - jeśli chcesz wszędzie mieć
zapytania do LDAP'a po SSL'u
- do administracji używam pakiety smbldap-tools
- do edycji ldapbrowser'a Jarka Gawora (działa pod wszystkim co ma javę
- najlepsze narzędzie jakie testowałem do LDAP'a)

Na razie nie można zrobić LDAP'a + Samby 3(jako PDC) i Kerberos'a (czyli
nie da się uzyskać OpenSource'owego Active Directory :| ), ma to
zaoferować dopiero Samba 4.
Natomiast jeśli chcesz to możesz skerberyzować sobie wszystko pozostałe.

Potencjalne problemy:
- kilkanaście opisów na googlach - w tym wiekszość bezwartościowa lub
niekompletna (ale kilka b. dobrych), 
- jak chcesz to zrobić dobrze - nie korzystaj z gosa, ebox'a itd., bo
jak ci sie coś wywali to nie bedziesz wiedział gdzie szukać.
- redundancja - czyli serwer replikacji, bo jak ci padnie ldap to nawet
sie nie zalogujesz do domeny...

Co do skalowalności - mam to zaimplementowane dla ponad 120 userów i ok.
100 maszyn i działa bardzo dobrze. Wg Samba-3 by Example (oficjalna
dokumentacja) można to stosować dla 2000+ userów

W razie czego pisz jak się zdecydujesz coś takiego wdrażać...

Pozdr 
sm0q

Reply to:

Follow-Ups:
- RE: Centralne zarządzanie użytkownikami - nowy system
  - From: Jarek Buczyński <jaro80@gmail.com>

References:
- Centralne zarządzanie użytkownikami - nowy system
  - From: Jarek Buczyński <jaro80@gmail.com>

Prev by Date: Re: Etch Mozilla -> Iceape problem
Next by Date: Własny dynamiczny dns
Previous by thread: Re: Centralne zarządzanie użytkownikami - nowy system
Next by thread: RE: Centralne zarządzanie użytkownikami - nowy system
Index(es):
- Date
- Thread