Martin Juhlin <[EMAIL PROTECTED]> writes: > torsdagen den 6 februari 2003 18.04 skrev Torbjorn Pettersson: > > Martin Juhlin <[EMAIL PROTECTED]> writes: > > > Hej > > > > > > Jag håller på att sätta upp ett nätverk med 8 datorer. Grejen är den att > > > jag vill ha samma hemkatalog och lösenord på alla datorerna. För > > > hemkatalogerna användar jag nfs och det ser ut att fungera bra. Men hur > > > gör man med lösenorden och användarna? Jag vill ju gärna bara behöva > > > lägga in användarna en gång och ifall någon byter sitt lösenord skall det > > > bytas på alla datorer. Någon som har något förslag ? > > > > > > MvH > > > Martin > > > > Kerberos + pam + "directory server", d.v.s. antingen ldap, > > hesiod eller liknande. Allt finns som debian - paket. > > Hur gör med modul till pam för kerberos? Både libpam-krb5 och libpam-heimdal > är enligt deras beskrivning endast för lokala logins !? >
Nej, de är inte till för login alls. De är till för authentiering, d.v.s. att bevisa att login;et är korrekt. Själva login - informationen är vad du behöver directoryservern till. > > > Bara för att vara komplett så kan man ju nämna nis, som är > > relativt enkelt att sätta upp och köra, speciellt jämfört med > > ldap, men som har en del problem med säkerheten. Vilket ju > > också nfs har i.o.f.s. Så jag hoppas att maskinerna inte står > > direkt på internet? > > Jo, direkt ut på internet kommer de att vara. Så lite säkerhet hade inte > skadat :) Så skall man använda nis bör man alltså kompletera med en > brandvägg. Kan ju vara bra att veta. > > MvH > Martin Hmm...... Utan att veta ett dugg om hur din setup ser ut, annat än att det är 8 maskiner, skulle jag säga så här, det finns lite olika sätt man kan lösa det hela om man vill ha det säkert. 1) Flytta maskinerna så långt bort från internet som möjligt, kör nis + nfs. 2) Förslag 1 + brandvägg med en mailgw + http proxy på. (eller ev. en full NAT istället för enbart http proxy). Inga andra maskiner än brandväggen ens i närheten av internet. 3) Ett vpn mellan maskinerna, antingen baserat på ipsec eller ssl, med en separat brandvägg på varje maskin. nis resp. nfs endast öppet över vpn;et. 4) samba, sfs eller afs istället för nfs. (Alla finns som debian paket). Kör kerberos + ldap eller hesiod istället för nis. Ett "snik" - förslag, om det är få personer som skall vara inloggade o.s.v, och efterssom det låter som om du inte har arbetat med liknande saker tidigare. Om det bara är du eller max 1-2 personer till inblandade, så skippa nis + nfs helt och hållet och titta på vad du kan göra med ett program som heter "unison". (finns också som debian - paket). Det kanske räcker för vad du skall göra? Du kan ha det för att synkronisera hemkataloger + /etc/passwd + /etc/shadow mellan maskinerna, och om du väljer att köra unison över ssh så får du rätt så hög säkerhet på det hela också. Avslutningsvis, maskiner om maskiner som står på internet: -) Stäng av så mycket tjänster från inetd som möjligt -) Installera tcpwrappers -) Om möjligt, kör någon form av paketfiltrering Och gör absolut inget av följande: -) Kör _inte_ nis på internet -) Kör _inte_ nfs på internet (Problemen med nis resp. nfs är att den säkerhet som finns inbyggd i systen är baserad på antagandet att nätet är "säkert", d.v.s. ej avlyssnat, ej innehåller förfalskade ip - addresser eller kapade maskiner....) Mvh Tobbe -- ###################################################################### Torbjörn Pettersson # Email [EMAIL PROTECTED] Vattugatan 5 # Web www.strul.nu/~tobbe S-111 52 Stockholm, Sweden # ######################################################################
