Radek Krejča wrote: >> Porad mam za nejpravdepodobnejsi spravnou odpoved (i bez znalosti >> zadani), ze nejjednodussim resenim je mit pro kazdeho jednotliveho >> uzivatele samostatny ucet. To je totiz "prirozene" reseni
> mam x diskless freebsd routeru, ktere se restartuji pouze v pripade aplikace > upgradu a tudiz je pomerne narocna sprava uzivatelu > potrebujeme mit pro par lidi na tyto routery pristup, ale potrebuji jim ho > cas od casu vzit a zase pridat. No, jednak je otazka, jestli omezeni "restartuji se pouze pri upgrade" neni zbytecne silne omezeni, ktere problem neprimerene komplikuje, pokdu by stacilo zmeny v uzivatelich propagovat do druheho dne, tak ze proste v pripade potreby v 3:30 router "otoci". Nevim jak je to u diskess stroju, ale u normalnich se restart da zvladnout za cca minutu - a je otazka, jestli to je v konkretnim pripaded nepripustne dlouhy vypadek. > myslel jsem, ze nejjednodussi bude zridit jednoho uzivatele a lidem pridelit > kazdemu svuj vlastni klic, ktery bych pak zase smazal a bylo by to Aha, ergo, kouzlo je podle vseho v tom, ze seznam klicu je na zapisovatelnem volume, kdezto master.passwd neni. Otazka je, jestli neni proste nejednodussi vzit zdrojak toho PAM mofulu, co autentizuje vuci master.passwd, prepsat v nem cestu, soubor dat na zapisovatelny volume a tim mit vyreseno. Teda, netvrdim, ze se tam nemuze objevit nejaky zadrhel, ale mohlo by to byt relativne hladke. Dalsi moznost je vlozit tam PAM modul, pripadne nakonfigurovat nejaky existujici (treba i zmineny ldap) co se autentizace zhosti pred defaultnim unix modulem. Dalsi moznost je dvoustupnova autentizace, z hlediska systemu mit skutecne jednoho uzivatele, za urcite situace by mohl byt i bez hesla, ale jako jeho shell dat neco, co se zepta na osobni jmeno a heslo uzivatele. Oproti cemu bude udaj kontrolovat a kam zapise kdo se autentizoval je otazkou fantazie. O moznosti upravid primo program 'login' ani nemluve. Vsechny tyhle upravy samozrejme naji urcite bezpecnstni dopady, ktere je potreba zhodnotit. > Nakonec nejjednodussi tedy bude predelat konfiguraci proti centralnimu ldap > serveru a bude to. Nebo je nejake elegantni jine reseni? Bez restartu asi ne. Ale nemam s tim osobni zkusenost, diskless routeru bych se bal, je to prilis zavisle na funkcnosti site a sitoveho serveru a nikde je nepouzivame. Z tehoz duvodu bych se bal autentizace zavisle na dostupnosti nelokalniho zdroje. Ale je pravda, ze kdyz uz to je na te siti zavisle kvuli tomu, ze to je diskless tak uz asi nevadi, ze se bez site ani neprihlasis ... Kazdopadne, mnoho spravcu, serverova smrt ... ;-) Dan -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
