Maxim_ka
@Maxim_ka
Системный инженер

Единый способ авторизации и аутентификации UNIX

Доброй ночи, всем.

Собственно говоря вопросом является сабж. Есть достаточно большое количество серверов *NIX, хотелось бы как-то централизовать процесс авторизации и аутентификации на данных серверах, облегчить управление пользователями, придать более ли менее секьюрности. Сейчас все настроено стандартно, на каждом сервере отдельные пользователи, разные пароли.
Вопросы следующие, каким методом из существующих можно воспользоваться, кто чем пользуется уже?
И второе, будет ли реальная польза и какова рентабельность данной идеи?

Заранее благодарю.
  • Вопрос задан
  • 5814 просмотров
Пригласить эксперта
Ответы на вопрос 5
z0rc
@z0rc
LDAP и OpenLDAP в частности.
Ответ написан
IlyaEvseev
@IlyaEvseev
Opensource geek
Смотрите список модулей в www.linux-pam.org/modules.html
Любой из модулей, который читает данные из сети, может быть использован для централизованной проверки доступа.
Например, мы использовали pam_radius + ActiveDirectory + IAS.
Ответ написан
merlin-vrn
@merlin-vrn
Ну ответ дан — используйте директорию. Но сразу хочу предупредить: во-первых нормальных современных мануалов нет, во-вторых — с openldap придётся изобретать всё с нуля: свою структуру директории и тому подобное. Для облегчения процесса возьмите 389 — там всё-таки больше «готового».

И прежде, чем настраивать на живом, погоняйте виртуальную сеть из четырёх-семи машин, отладьте подход и научитесь пользоваться (а заодно и других научите); иначе потом может быть мучительно больно. Если возьмётесь за openldap, я вам гарантирую, что вы ещё в виртуальной сети пару раз всё переделаете, пока придёте к удобному подходу.

Если хотите сделать чтоб всё ваще зашибись, то сразу дружите систему с Kerberos. Это даст вам бесплатный SSO, и заодно позволит повысить безопасность сетевой аутентификации (конечно же, только при правильном подходе, а пароли типа 123 безопаснее не станут).
Ответ написан
facha
@facha
Пользуясь случаем, спрошу. Что произойдет, если ldap-сервер окажется недоступен? Смогу ли я зайти на какой-либо сервер в этом случае?
Ответ написан
@philipto
LDAP — самое простое. Если хочется совсем красиво, то есть OpenAM. Наследник Sun Directory Server.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы