Автор Тема: Централизирана идентификационна система?  (Прочетена 1123 пъти)

trbl

  • Участници
  • ***
  • Публикации: 4
    • Профил
Здравейте,
Опитвам се да подкарам централизирана идентификационна система, но за съжаление без кой знае какъв успех за сега. Опитах с radius сървър и pam_radius модул, но се оказа, че за да работи модула, трябва потребителят да съществува в /etc/passwd. Видях, че в BSD - pam_radius поддържа опция, за идентификация с правата на един потребител от локалната система, но за съжаление при Linux го няма. Някой има ли идея по какъв друг начин може да се реализира подобно нещо? Идеята е да се създават потребители в централна система и от всяка станция чрез Display Manager-a, да могат да се използват тези потребители за логин. А ако имате идея как мога да заобиколя, нуждата от локални потребители при pam_radius ще е идеално, защото така решението ми харесва много, тъй като radius-а може да е на рутера и да няма нужда от допълнителни устройства. Мислех и за LDAP, но го оставям за краен вариант, тъй като ми се струва като прекалено сложно решение на горе-долу прост проблем.
Активен

ddantgwyn

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 1133
    • Профил
Здравейте,
Опитвам се да подкарам централизирана идентификационна система, но за съжаление без кой знае какъв успех за сега. Опитах с radius сървър и pam_radius модул, но се оказа, че за да работи модула, трябва потребителят да съществува в /etc/passwd. Видях, че в BSD - pam_radius поддържа опция, за идентификация с правата на един потребител от локалната система, но за съжаление при Linux го няма. Някой има ли идея по какъв друг начин може да се реализира подобно нещо? Идеята е да се създават потребители в централна система и от всяка станция чрез Display Manager-a, да могат да се използват тези потребители за логин. А ако имате идея как мога да заобиколя, нуждата от локални потребители при pam_radius ще е идеално, защото така решението ми харесва много, тъй като radius-а може да е на рутера и да няма нужда от допълнителни устройства. Мислех и за LDAP, но го оставям за краен вариант, тъй като ми се струва като прекалено сложно решение на горе-долу прост проблем.

Директориен сървър няма ли да върши работа, макар че не съм сигурен идентификация ли търсиш или удостоверяване?

1) Samba 4: Linux Active Directory Server;
2) 389 Directory Server;
3) IBM Tivoli Directory Server version 6.3 for Linux systems --този може би е комерсиален;
4) CentOS Directory Server;
5) Mandriva Directory Server.

Има и още :)

Връзки не съм пуснал, защото не ми се занимава, но чичко google ще ти ги извади при използване на вълшебните думи "linux directory server" :)
« Последна редакция: Feb 08, 2013, 10:26 от ddantgwyn »
Активен

--
the lamer's team honourable member

trbl

  • Участници
  • ***
  • Публикации: 4
    • Профил
Такъв сървър е вариант, но за сега се оптивам да го избегна, тъй като целта не е удостоверяване на права до ресурс. Всички потребители са с еднакви права, така че идеята да има един локален потребител в /etc/passwd и всички след идентификация пред сървъра, да влизат с правата на този потребител ми се струва най-добре.
Активен

ddantgwyn

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 1133
    • Профил
Такъв сървър е вариант, но за сега се оптивам да го избегна, тъй като целта не е удостоверяване на права до ресурс. Всички потребители са с еднакви права, така че идеята да има един локален потребител в /etc/passwd и всички след идентификация пред сървъра, да влизат с правата на този потребител ми се струва най-добре.

Хъх, нали идентификацията е именно с име и парола пред сървъра?! И като направиш един потребител на сървъра, всички физически лица ще го ползват него? Нещо не мога да разбера каква е идеята ти :(
Активен

--
the lamer's team honourable member

trbl

  • Участници
  • ***
  • Публикации: 4
    • Профил
Това го дадох само като пример. Иначе идеята е че имам няколко компютъра, които са за публичен достъп (намират се на публично място и са със свободен достъп), който искам да огранича (в момента имам решение, което не ми харесва). В примера от предният пост описвам, как е реализиран pam_radius модул-а на BSD. Display Manager-a (SLiM) използва pam_radius за да провери дали въведените потребител и парола са валидни в Radius сървъра, ако са - стартира се сесия с определен потребител, който е валиден в /etc/passwd (точно определен, различен от този въведен при login-а). Чудя се дали неможе да се намери подобно решение, без да е функционалност на самият pam_radius.
« Последна редакция: Feb 08, 2013, 14:15 от trbl »
Активен

Oxy

  • Напреднали
  • *****
  • Публикации: 253
  • Distribution: Fedora / Gentoo / Debian
  • Window Manager: KDE (4.2/ 3.5)
    • Профил
    • WWW
Разгледай Керберос/Церберос... все тая как се произнася... можеш да го направиш с он логин тикетс, или просто с кинит юсърнейм@реалм да се взема тикет.. това можеш да го намежеш върху ЛДАП сървар да чете и сверява от там... ще ти спести доста занимавка при администрация на кербероса...

maniac

  • Напреднали
  • *****
  • Публикации: 34
    • Профил
Лдап-а си е най-добрия начин според мене да постигнеш това, което си описал. Ако целиш само оторизация на потребители можеш да го направиш с всичко, което PAM-а поддържа. Но в ldap-а можеш да вкараш и други благини - судо права, членство в групи, мейли, днс зони, самба, астериск. Почти всичко за което се сетиш. Малко е гърчавица, докато оправиш лдап схемите (страшен кеф е като има конфликти). Но после си е супер.
Ето един приличен интерфейс за по-лесна администрация в последствие https://www.ldap-account-manager.org/lamcms/
Още по-лачено става, ако монтираш от NFS домашните директории на потребителите, но в твоя случай май няма смисъл  :)
Активен

for beer in $(ls /home/fridge); do drink $beer; done