Титла: Централизирана идентификационна система? Публикувано от: trbl в Feb 08, 2013, 09:37 Здравейте,
Опитвам се да подкарам централизирана идентификационна система, но за съжаление без кой знае какъв успех за сега. Опитах с radius сървър и pam_radius модул, но се оказа, че за да работи модула, трябва потребителят да съществува в /etc/passwd. Видях, че в BSD - pam_radius поддържа опция, за идентификация с правата на един потребител от локалната система, но за съжаление при Linux го няма. Някой има ли идея по какъв друг начин може да се реализира подобно нещо? Идеята е да се създават потребители в централна система и от всяка станция чрез Display Manager-a, да могат да се използват тези потребители за логин. А ако имате идея как мога да заобиколя, нуждата от локални потребители при pam_radius ще е идеално, защото така решението ми харесва много, тъй като radius-а може да е на рутера и да няма нужда от допълнителни устройства. Мислех и за LDAP, но го оставям за краен вариант, тъй като ми се струва като прекалено сложно решение на горе-долу прост проблем. Титла: Re: Централизирана идентификационна система? Публикувано от: ddantgwyn в Feb 08, 2013, 10:21 Здравейте, Директориен сървър няма ли да върши работа, макар че не съм сигурен идентификация ли търсиш или удостоверяване? 1) Samba 4: Linux Active Directory Server; 2) 389 Directory Server; 3) IBM Tivoli Directory Server version 6.3 for Linux systems --този може би е комерсиален; 4) CentOS Directory Server; 5) Mandriva Directory Server. Има и още :) Връзки не съм пуснал, защото не ми се занимава, но чичко google ще ти ги извади при използване на вълшебните думи "linux directory server" :) Титла: Re: Централизирана идентификационна система? Публикувано от: trbl в Feb 08, 2013, 10:59 Такъв сървър е вариант, но за сега се оптивам да го избегна, тъй като целта не е удостоверяване на права до ресурс. Всички потребители са с еднакви права, така че идеята да има един локален потребител в /etc/passwd и всички след идентификация пред сървъра, да влизат с правата на този потребител ми се струва най-добре.
Титла: Re: Централизирана идентификационна система? Публикувано от: ddantgwyn в Feb 08, 2013, 11:27 Такъв сървър е вариант, но за сега се оптивам да го избегна, тъй като целта не е удостоверяване на права до ресурс. Всички потребители са с еднакви права, така че идеята да има един локален потребител в /etc/passwd и всички след идентификация пред сървъра, да влизат с правата на този потребител ми се струва най-добре. Хъх, нали идентификацията е именно с име и парола пред сървъра?! И като направиш един потребител на сървъра, всички физически лица ще го ползват него? Нещо не мога да разбера каква е идеята ти :( Титла: Re: Централизирана идентификационна система? Публикувано от: trbl в Feb 08, 2013, 14:13 Това го дадох само като пример. Иначе идеята е че имам няколко компютъра, които са за публичен достъп (намират се на публично място и са със свободен достъп), който искам да огранича (в момента имам решение, което не ми харесва). В примера от предният пост описвам, как е реализиран pam_radius модул-а на BSD. Display Manager-a (SLiM) използва pam_radius за да провери дали въведените потребител и парола са валидни в Radius сървъра, ако са - стартира се сесия с определен потребител, който е валиден в /etc/passwd (точно определен, различен от този въведен при login-а). Чудя се дали неможе да се намери подобно решение, без да е функционалност на самият pam_radius.
Титла: Re: Централизирана идентификационна система? Публикувано от: Oxy в Feb 09, 2013, 15:55 Разгледай Керберос/Церберос... все тая как се произнася... можеш да го направиш с он логин тикетс, или просто с кинит юсърнейм@реалм да се взема тикет.. това можеш да го намежеш върху ЛДАП сървар да чете и сверява от там... ще ти спести доста занимавка при администрация на кербероса...
Титла: Re: Централизирана идентификационна система? Публикувано от: maniac в Feb 13, 2013, 02:45 Лдап-а си е най-добрия начин според мене да постигнеш това, което си описал. Ако целиш само оторизация на потребители можеш да го направиш с всичко, което PAM-а поддържа. Но в ldap-а можеш да вкараш и други благини - судо права, членство в групи, мейли, днс зони, самба, астериск. Почти всичко за което се сетиш. Малко е гърчавица, докато оправиш лдап схемите (страшен кеф е като има конфликти). Но после си е супер.
Ето един приличен интерфейс за по-лесна администрация в последствие https://www.ldap-account-manager.org/lamcms/ ($2) Още по-лачено става, ако монтираш от NFS домашните директории на потребителите, но в твоя случай май няма смисъл :) |