Jak doniosły WSI, dnia Tue, 16 Jan 2007 00:38:37 +0100 Jarek Buczyński <[EMAIL PROTECTED]> napisał(a):
> Witajcie > > Po pewnych doświadczeniach z Linuksem i użytkownikami dochodzę do > wniosku że pojawia się pewien problem zarządzaniem loginam i hasłami. > Widać to szczególnie w przypadku samby, ftp i innych usług. Chodzi o > ze dochodzi do sytuacji gdzie jeden użytkownik ma przykładowo dwa > loginy do usług różne hasła itd. > > Czy jest możliwość aby sobie z tym w prosty sposób poradzić? Jeżeli > ktoś doświadczył (a na pewno tak)proszę o jakąś poradę. Słyszałem o > LDAP, Kerberos, PAM ale nigdy z tego nie korzystałem i nie wiem jak > wygląda współpraca z przykładowo ftp, sambą... itd. > > Co możecie polecić jako bezpieczne, niezawodne rozwiązanie? > > -- > Pozdrawiam > Witam, Proponuje coś takiego (u mnie dobrze działa): - Dane użytkowników, grup (istotnych), usług i co tam jeszcze chcesz w katalogu LDAP - Samba jako kontroler domeny dla klientów windowsowych (z NTML2) - ładnie współpracuje z LDAP'em (po SSL'u też), - Postfix - też ładnie współpracuje z LDAP'em, - courier - też (przez courier-authdaemon'a) - Squid - też (jeżeli używasz autentykacji na proxy) - własne CA (chyba że masz certyfikat) - jeśli chcesz wszędzie mieć zapytania do LDAP'a po SSL'u - do administracji używam pakiety smbldap-tools - do edycji ldapbrowser'a Jarka Gawora (działa pod wszystkim co ma javę - najlepsze narzędzie jakie testowałem do LDAP'a) Na razie nie można zrobić LDAP'a + Samby 3(jako PDC) i Kerberos'a (czyli nie da się uzyskać OpenSource'owego Active Directory :| ), ma to zaoferować dopiero Samba 4. Natomiast jeśli chcesz to możesz skerberyzować sobie wszystko pozostałe. Potencjalne problemy: - kilkanaście opisów na googlach - w tym wiekszość bezwartościowa lub niekompletna (ale kilka b. dobrych), - jak chcesz to zrobić dobrze - nie korzystaj z gosa, ebox'a itd., bo jak ci sie coś wywali to nie bedziesz wiedział gdzie szukać. - redundancja - czyli serwer replikacji, bo jak ci padnie ldap to nawet sie nie zalogujesz do domeny... Co do skalowalności - mam to zaimplementowane dla ponad 120 userów i ok. 100 maszyn i działa bardzo dobrze. Wg Samba-3 by Example (oficjalna dokumentacja) można to stosować dla 2000+ userów W razie czego pisz jak się zdecydujesz coś takiego wdrażać... Pozdr sm0q
