Ahoj, obavam se ze to co popisujes uz te preci jen odkazu bud: 1) do podobneho reseni jako navrhl dan, kde budes muset resit urcite nejake systemove navaznosti 2) do centralniho ldapu, kde pak muzes definovat co potrebujes bez nejakych dalsich problemu, je to prehledne , da se to ruzne vrstvit, atd... Ja napriklad pro nektere servery pouzivam toto reseni : hlavni ldap tree -> client (subtree) kde mam People a Groups(tato vetev oznacuje klientovy "rooty"), popr : hlavni tree -> client tree -> servers -> People Groups, to je sice komplikovanejsi na spravu, ale zase presnejsi z hlediska autorizaci. Vilem
Dne 4. února 2014 22:41 Dan Lukes <[email protected]> napsal(a): > Radek Krejča wrote: > >> Porad mam za nejpravdepodobnejsi spravnou odpoved (i bez znalosti > >> zadani), ze nejjednodussim resenim je mit pro kazdeho jednotliveho > >> uzivatele samostatny ucet. To je totiz "prirozene" reseni > > > mam x diskless freebsd routeru, ktere se restartuji pouze v pripade > aplikace upgradu a tudiz je pomerne narocna sprava uzivatelu > > potrebujeme mit pro par lidi na tyto routery pristup, ale potrebuji jim > ho cas od casu vzit a zase pridat. > > No, jednak je otazka, jestli omezeni "restartuji se pouze pri upgrade" > neni zbytecne silne omezeni, ktere problem neprimerene komplikuje, pokdu > by stacilo zmeny v uzivatelich propagovat do druheho dne, tak ze proste > v pripade potreby v 3:30 router "otoci". Nevim jak je to u diskess > stroju, ale u normalnich se restart da zvladnout za cca minutu - a je > otazka, jestli to je v konkretnim pripaded nepripustne dlouhy vypadek. > > > myslel jsem, ze nejjednodussi bude zridit jednoho uzivatele a lidem > pridelit kazdemu svuj vlastni klic, ktery bych pak zase smazal a bylo by to > > Aha, ergo, kouzlo je podle vseho v tom, ze seznam klicu je na > zapisovatelnem volume, kdezto master.passwd neni. > > Otazka je, jestli neni proste nejednodussi vzit zdrojak toho PAM mofulu, > co autentizuje vuci master.passwd, prepsat v nem cestu, soubor dat na > zapisovatelny volume a tim mit vyreseno. Teda, netvrdim, ze se tam > nemuze objevit nejaky zadrhel, ale mohlo by to byt relativne hladke. > > Dalsi moznost je vlozit tam PAM modul, pripadne nakonfigurovat nejaky > existujici (treba i zmineny ldap) co se autentizace zhosti pred > defaultnim unix modulem. > > Dalsi moznost je dvoustupnova autentizace, z hlediska systemu mit > skutecne jednoho uzivatele, za urcite situace by mohl byt i bez hesla, > ale jako jeho shell dat neco, co se zepta na osobni jmeno a heslo > uzivatele. Oproti cemu bude udaj kontrolovat a kam zapise kdo se > autentizoval je otazkou fantazie. O moznosti upravid primo program > 'login' ani nemluve. > > Vsechny tyhle upravy samozrejme naji urcite bezpecnstni dopady, ktere je > potreba zhodnotit. > > > Nakonec nejjednodussi tedy bude predelat konfiguraci proti centralnimu > ldap serveru a bude to. Nebo je nejake elegantni jine reseni? > > Bez restartu asi ne. Ale nemam s tim osobni zkusenost, diskless routeru > bych se bal, je to prilis zavisle na funkcnosti site a sitoveho serveru > a nikde je nepouzivame. Z tehoz duvodu bych se bal autentizace zavisle > na dostupnosti nelokalniho zdroje. Ale je pravda, ze kdyz uz to je na te > siti zavisle kvuli tomu, ze to je diskless tak uz asi nevadi, ze se bez > site ani neprihlasis ... > > Kazdopadne, mnoho spravcu, serverova smrt ... ;-) > > > Dan > > -- > FreeBSD mailing list ([email protected]) > http://www.freebsd.cz/listserv/listinfo/users-l > -- ------------------------- S pozdravem Vilem Kebrt ------------------------- VikerCZ -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
