On 15.04.2018 12:05, Коротаев Руслан wrote:
В сообщении от [Сб 2018-04-14 23:00 +0300]
Артём Н. <artio...@yandex.ru> пишет:
Хочу сделать так, чтобы все сервисы на NAS централизованно получали
данные о пользователях. Решил это реализовать через LDAP. Почитал.
Вроде, теоретически понятно, а практически как-то не очень, бьюсь с
LDAP уже немало.
- Оправданно ли вообще использование LDAP в таком случае?
Рекомендую RADIUS (FreeRADIUS есть в репозитории).
Смотрел его, и так понял, что он мне не нужен.
Вы очень мало
написали о сути проблемы, поэтому поделюсь своим решением, возможно оно
и вам поможет.
Фактически, писать тут особо нечего.
Есть n сервисов, поддерживающих LDAP из коробки, и m пользователей, которые
хотят пользоваться
частью сервисов и, возможно, иметь личный каталог в ФС.
Надо это реализовать.
Логично, что управлять пользователями надо централизованно.
Задача дальнего будущего - на внешних машинках авторизоваться с LDAP сервера,
который крутится в NAS.
Проблема: дома есть NAS, на котором крутятся сервисы раздачи файлов и
мультимедиа по разным протоколам. Для себя и домашних проблем нет,
подключаемся и получаем к ним доступ. Но что если пришли гости и просят
WiFi, вряд ли вы хотите чтобы они увидели что-то вроде «Жесть. Отжигаю в
Турции».
Очевидное решение: сделать на роутере два VLAN — домашний и гостевой, и
защитить паролем. Однако, пароля будет недостаточно, когда вас не будет
дома, бабушка наверняка их перепутает. Поэтому нужен RADIUS, он есть
даже в самом дешевом китайском роутере.
Схема сложновата.
В моём случае, NAS - вещь в себе.
Я могу всё поднять на нём.
- Как настроить его так, чтобы был TLS (в перспективе будет торчать
"наружу") с самоподписанным сертификатом?
Да, аутентификация по сертификату есть, если вы купите у своего
провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты,
можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS.
Да, белый IP уже есть, но для того, чтобы отличать VPS нужны доменные имена.
Я могу использовать динамический DNS и диспетчер на nginx-proxy.
Однако сейчас я пробрасываю порты.
Имея белый IP-адрес, вы можете подключить IPv6, например через NAT64
[1]. Вы уже не будете ограничены домашней сетью и сможете давать доступ
к своим сервисам на различных VPS исходя из IPv6-адреса.
Вот тут пока сложно: с IPv6 я только ознакомился, практически же не работал с
ним.
В общем политика безопасности очень простая — получил IP-адрес (любой
IPv4 и/или IPv6), значит прошел аутентификацию и можно давать доступ,
дальше всё реализуем через файрвол.
В смысле?
Любой, знающий IP, считается "прошедшим аутентификацию"?
Не вариант.
Если возможностей RADIUS-сервера будет не достаточно, то можно
прикрутить к нему LDAP, но это скорее для крупных компаний, для дома это
лишнее.
[1]: https://blog.kr.pp.ru/post/2017-12-12/
Я бы с удовольствием не парился с LDAP, но его поддерживают gitlab, OMV,
urbackup, etc.
