С чего начинать настройку?

Question

[sazhyk]

Есть желание приобщиться к настройке "сквозной авторизации" (SSO). Выбрал для экспериментов связку OpenLDAP + MIT Kerberos. Естественно репликация и OpenLDAP, и Kerberos. То есть, схема примерно следующая:
Машина1 (master)
|--- ldap1.site.ru
|----kdc1.site.ru
Машина2 (slave)
|--- ldap2.site.ru
|----kdc2.site.ru
Мануалов по настройке служб в отдельности много, с этим проблем нет. К сожалению, никак не придет понимание того, что за чем и в какой последовательности настраивается. В доках к Керберосу описывается, что сначала мы настраиваем Керберос, а затем опенлдап как базу для хранения пользователей. В настройке опенлдапа всё наоборот.
Пока есть в понимании следующие схемы работы:
1. Сначала я настраиваю slapd на обеих машинах, настраиваю репликация OpenLDAP, затем настраиваю Керберос и его репликацию.
2. Сначала настраиваю slapd на обеих машинах, настраиваю Керберос. И в Керберос уже настраиваю что и как должно реплицироваться. (если вообще так возможно)
Подскажите алгоритм действий.
Что на практике предпочтительнее настраивать сначала?

Answer 1

[Axian Ltd.]

Я бы взял freeipa - больше пользы будет и проще в большинстве случаев настраивать.

Comments

[sazhyk]

Да, его тоже рассматривал. Может конечно странновато, но я не приверженец RedHat. Как-то не сложилось. Хотелось бы поднять это дело на Debian. К сожалению, FreeIPA выпилен из stable репозитария, и сейчас находится в репах sid/unstable. Это во-первых. Во-вторых, я не очень люблю ПО, разобраться в в работе "подкапотного пространства" которого будет довольно проблематично.
Хотя, повторюсь, этот вариант я тоже рассматриваю. Все равно спасибо.

[Axian Ltd.]

Оно стандартно в пакеты Ubuntu входит. ИМХО единственный рабочий вариант для гетерогенной сети Linux/Windows. Один из авторов русскоговорящий - https://vimeo.com/134560237. И смысл чтобы использовать некие типовые решения, а не копаться "под капотом" ;-)

[sazhyk]

Axian Ltd.: За видео спасибо. Глянул начало - обязательно досмотрю, докладчик интересно рассказывает. Меня пугает в этом, без преувеличения "комбайне" то, что я не понимаю как это работает внутри и, на фоне этого, боюсь не справиться с возникшими трудностями в процессе поддержки.
Наличие его в репозитариях Ubuntu меня ни разу не радует и не удивляет, ибо Debian Sid = Ubuntu (это тема матерых холиваров, давайте не будем её раздувать от греха подальше). Да, я её всё же попробую. Но чуть позже.

[sazhyk]

Axian Ltd.: попробовал. Не очень понял, там dhcp не интегрируется?

[Axian Ltd.]

sazhyk: dhcp стандартный, может быть не один - https://www.freeipa.org/page/DHCP_Integration_Design

[sazhyk]

Axian Ltd.: всё равно не понял как его интегрировать. Я не очень силен в английском, может что не так понял.

[Axian Ltd.]

Придется немного подождать, я тут готовлю решение для клиента на базе freeipa, закончу будет инструкция на русском.

[sazhyk]

Axian Ltd.: а возможен такой вариант; я всё же решит настроить на freeipa по вашему совету, есть кой-какие пробелы, вы могли бы дать несколько советов мне. Естественно не бесплатно.
Просто информация есть только на английском, знаний английского пока не хватает чтоб осилить всё. Можно связаться со мной по почте из моего профиля. Заранее спасибо за понимание.
ЗЫ. дико извиняюсь за офтоп, и понимаю что нарушаю правила.

Answer 2

[Vladimir Zhurkin]

Просто для себя определите что: openldap это протокол доступа к каталогам , а Kerberos - это сетевой протокол аутентификации.

Что настраивать первым ? Ну смотрите, если мы настроем первым Kerberos мы сможем пройти аутентификацию, а дальше надо пройти авторизацию. Вопрос кто это будет делать ? Нужен Ldap. Ldap может работать без Kerberos и производить авторизацию, но это не считается безопасным , поэтому мы используем аутентификацию. Проблема курицы и яйца :) Я обычно изначально настраиваю всегда kerberos, а потом ldap. Так как kerberos можно использовать не только для ldap, а например для ssh.