Re: Centralne zarządzanie użytkownikami - nowy system
Jak doniosły WSI, dnia Tue, 16 Jan 2007 00:38:37 +0100
Jarek Buczyński <jaro80@gmail.com> napisał(a):
> Witajcie
>
> Po pewnych doświadczeniach z Linuksem i użytkownikami dochodzę do
> wniosku że pojawia się pewien problem zarządzaniem loginam i hasłami.
> Widać to szczególnie w przypadku samby, ftp i innych usług. Chodzi o
> ze dochodzi do sytuacji gdzie jeden użytkownik ma przykładowo dwa
> loginy do usług różne hasła itd.
>
> Czy jest możliwość aby sobie z tym w prosty sposób poradzić? Jeżeli
> ktoś doświadczył (a na pewno tak)proszę o jakąś poradę. Słyszałem o
> LDAP, Kerberos, PAM ale nigdy z tego nie korzystałem i nie wiem jak
> wygląda współpraca z przykładowo ftp, sambą... itd.
>
> Co możecie polecić jako bezpieczne, niezawodne rozwiązanie?
>
> --
> Pozdrawiam
>
Witam,
Proponuje coś takiego (u mnie dobrze działa):
- Dane użytkowników, grup (istotnych), usług i co tam jeszcze chcesz w
katalogu LDAP
- Samba jako kontroler domeny dla klientów windowsowych (z NTML2) -
ładnie współpracuje z LDAP'em (po SSL'u też),
- Postfix - też ładnie współpracuje z LDAP'em,
- courier - też (przez courier-authdaemon'a)
- Squid - też (jeżeli używasz autentykacji na proxy)
- własne CA (chyba że masz certyfikat) - jeśli chcesz wszędzie mieć
zapytania do LDAP'a po SSL'u
- do administracji używam pakiety smbldap-tools
- do edycji ldapbrowser'a Jarka Gawora (działa pod wszystkim co ma javę
- najlepsze narzędzie jakie testowałem do LDAP'a)
Na razie nie można zrobić LDAP'a + Samby 3(jako PDC) i Kerberos'a (czyli
nie da się uzyskać OpenSource'owego Active Directory :| ), ma to
zaoferować dopiero Samba 4.
Natomiast jeśli chcesz to możesz skerberyzować sobie wszystko pozostałe.
Potencjalne problemy:
- kilkanaście opisów na googlach - w tym wiekszość bezwartościowa lub
niekompletna (ale kilka b. dobrych),
- jak chcesz to zrobić dobrze - nie korzystaj z gosa, ebox'a itd., bo
jak ci sie coś wywali to nie bedziesz wiedział gdzie szukać.
- redundancja - czyli serwer replikacji, bo jak ci padnie ldap to nawet
sie nie zalogujesz do domeny...
Co do skalowalności - mam to zaimplementowane dla ponad 120 userów i ok.
100 maszyn i działa bardzo dobrze. Wg Samba-3 by Example (oficjalna
dokumentacja) można to stosować dla 2000+ userów
W razie czego pisz jak się zdecydujesz coś takiego wdrażać...
Pozdr
sm0q
Reply to: