Единый способ авторизации и аутентификации UNIX

Question

[Максим]

Доброй ночи, всем.

Собственно говоря вопросом является сабж. Есть достаточно большое количество серверов *NIX, хотелось бы как-то централизовать процесс авторизации и аутентификации на данных серверах, облегчить управление пользователями, придать более ли менее секьюрности. Сейчас все настроено стандартно, на каждом сервере отдельные пользователи, разные пароли.
Вопросы следующие, каким методом из существующих можно воспользоваться, кто чем пользуется уже?
И второе, будет ли реальная польза и какова рентабельность данной идеи?

Заранее благодарю.

Answer 1

[z0rc]

LDAP и OpenLDAP в частности.

Comments

[Максим]

По ходу дела, действительно кроме LDAP ничего не применимо больше.

[lastkrick]

Ну, почему же, при должном умении можно какую-нибудь базу данных к PAM прикрутить. Вот только стоит ли оно того, если есть LDAP?
А если захочется интегрироваться с виндой посмотрите на Samba4 или ISA Server

[Максим]

С PAM конечно игра не стоит свеч, я думаю, скорее всего остановлюсь на LDAP. Но все равно как-то скудненько…

[merlin-vrn]

Maxim_ka, LDAP — это директория. В ней может быть всё, что угодно: база пользователей, база сервисов, сами данные сервисов и тому подобное.
К линуксовому логину конечно прикручивается через PAM — т.к. вся аутентификация там по определению через PAM. Ставится модуль pam_ldap, который проверяет учётные данные по директории, и вперёд.

Microsoft Active Directory и есть LDAP-сервер (да, соответственно, можно openldapовым ldapsearch прочитать содержимое AD, а можно и логин в линукс прикрутить к AD). Только там есть пара несоответствий с протоколами (типа тот же OID означает что-нибудь другое, нежели в стандарте), и есть ещё плюшки типа безопасной сетевой аутентификации через Kerberos и продвинутого управления правами (то есть авторизацией).

lastkrick, вы сравнили тёплое и мелкое. LDAP — не «вместо PAM»; в линуксе сейчас любой логин делается через PAM. Даже AD. Что угодно. По умолчанию обычно используется pam_shadow, но никто не мешает использовать другую систему аутентификации. LDAP прикручивается тоже через PAM.

Answer 2

[Ilya Evseev]

Смотрите список модулей в www.linux-pam.org/modules.html
Любой из модулей, который читает данные из сети, может быть использован для централизованной проверки доступа.
Например, мы использовали pam_radius + ActiveDirectory + IAS.

Answer 3

[merlin-vrn]

Ну ответ дан — используйте директорию. Но сразу хочу предупредить: во-первых нормальных современных мануалов нет, во-вторых — с openldap придётся изобретать всё с нуля: свою структуру директории и тому подобное. Для облегчения процесса возьмите 389 — там всё-таки больше «готового».

И прежде, чем настраивать на живом, погоняйте виртуальную сеть из четырёх-семи машин, отладьте подход и научитесь пользоваться (а заодно и других научите); иначе потом может быть мучительно больно. Если возьмётесь за openldap, я вам гарантирую, что вы ещё в виртуальной сети пару раз всё переделаете, пока придёте к удобному подходу.

Если хотите сделать чтоб всё ваще зашибись, то сразу дружите систему с Kerberos. Это даст вам бесплатный SSO, и заодно позволит повысить безопасность сетевой аутентификации (конечно же, только при правильном подходе, а пароли типа 123 безопаснее не станут).

Comments

[Максим]

спасибо за подробные разъяснения всего происходящего, про openldap я, если честно даже не думал, слишком он «не веселый» какой-то, а вот SSO с помощью Kerberos занятная идея. Все веселье заключается еще в том, что сервера, которые планируется заключить в этот SSO исключительно пром. unix, типа Solaris, HP-UX, ну парочка RH и OEL. Копать бесконечно долго придется, но в целом ответ получен я думаю…

[merlin-vrn]

Ну тогда ваша задача упрощается. Тот 389, который я порекомендовал, является этакой «свободной версией» Red Hat Directory Server. Так что берите его, он должен по крайней мере в RH и OEL (который форк RH) встраиваться как родной.

Answer 4

[facha]

Пользуясь случаем, спрошу. Что произойдет, если ldap-сервер окажется недоступен? Смогу ли я зайти на какой-либо сервер в этом случае?

Comments

[Максим]

Да, конечно сможете, с локальными учетными записями в существующем сервере, файл /etc/nsswitch.conf будет это контролировать

[merlin-vrn]

Поставьте два LDAP-сервера; настройте кэширование. Всё это встроено в MS AD, почему бы и другим не использовать?

Maxim_ka, nsswitch нужен немного для другого. К аутентификации пользователей он никакого отношения не имеет, он определяет, откуда брать соответствия типа «номер-имя» — отсюда название «name service switch». Выбираем, как разрешать сетевые номера и сетевые имена — через файлик hosts или через систему dns; выбираем, как связать uid/gid и имена пользователей — из файлов passwd/group или из ldap или из mysql и тому подобное.

[facha]

Хм. Я запутался. Думал что ldap как раз избавит меня от поддержки локальных учетных записей.

[merlin-vrn]

Избавит. Но на всякий случай стоит иметь «локального админа», которым, не дай бог, придётся воспользоваться в случае системного сбоя.

Answer 5

[philipto]

LDAP — самое простое. Если хочется совсем красиво, то есть OpenAM. Наследник Sun Directory Server.