On 15.04.2018 12:05, Коротаев Руслан wrote:
В сообщении от [Сб 2018-04-14 23:00 +0300] Артём Н. <artio...@yandex.ru> пишет:Advertising
Хочу сделать так, чтобы все сервисы на NAS централизованно получали данные о пользователях. Решил это реализовать через LDAP. Почитал. Вроде, теоретически понятно, а практически как-то не очень, бьюсь с LDAP уже немало. - Оправданно ли вообще использование LDAP в таком случае?Рекомендую RADIUS (FreeRADIUS есть в репозитории).
Смотрел его, и так понял, что он мне не нужен.
Вы очень мало написали о сути проблемы, поэтому поделюсь своим решением, возможно оно и вам поможет.
Фактически, писать тут особо нечего. Есть n сервисов, поддерживающих LDAP из коробки, и m пользователей, которые хотят пользоваться частью сервисов и, возможно, иметь личный каталог в ФС. Надо это реализовать. Логично, что управлять пользователями надо централизованно. Задача дальнего будущего - на внешних машинках авторизоваться с LDAP сервера, который крутится в NAS.
Проблема: дома есть NAS, на котором крутятся сервисы раздачи файлов и мультимедиа по разным протоколам. Для себя и домашних проблем нет, подключаемся и получаем к ним доступ. Но что если пришли гости и просят WiFi, вряд ли вы хотите чтобы они увидели что-то вроде «Жесть. Отжигаю в Турции». Очевидное решение: сделать на роутере два VLAN — домашний и гостевой, и защитить паролем. Однако, пароля будет недостаточно, когда вас не будет дома, бабушка наверняка их перепутает. Поэтому нужен RADIUS, он есть даже в самом дешевом китайском роутере.
Схема сложновата. В моём случае, NAS - вещь в себе. Я могу всё поднять на нём.
- Как настроить его так, чтобы был TLS (в перспективе будет торчать "наружу") с самоподписанным сертификатом?Да, аутентификация по сертификату есть, если вы купите у своего провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты, можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS.
Да, белый IP уже есть, но для того, чтобы отличать VPS нужны доменные имена. Я могу использовать динамический DNS и диспетчер на nginx-proxy. Однако сейчас я пробрасываю порты.
Имея белый IP-адрес, вы можете подключить IPv6, например через NAT64 [1]. Вы уже не будете ограничены домашней сетью и сможете давать доступ к своим сервисам на различных VPS исходя из IPv6-адреса.
Вот тут пока сложно: с IPv6 я только ознакомился, практически же не работал с ним.
В общем политика безопасности очень простая — получил IP-адрес (любой IPv4 и/или IPv6), значит прошел аутентификацию и можно давать доступ, дальше всё реализуем через файрвол.
В смысле? Любой, знающий IP, считается "прошедшим аутентификацию"? Не вариант.
Если возможностей RADIUS-сервера будет не достаточно, то можно прикрутить к нему LDAP, но это скорее для крупных компаний, для дома это лишнее. [1]: https://blog.kr.pp.ru/post/2017-12-12/
Я бы с удовольствием не парился с LDAP, но его поддерживают gitlab, OMV, urbackup, etc.