Netværkskontrolleret login
Vi bliver flere og flere folk i vores udviklingsafdeling, og eftersom en af mine opgaver er at sætte servere op, er jeg lidt træt af at vedligeholde brugertabeller på alle maskinerne.
Eftersom vi har en central filserver, som de øvrige maskiner tilgår via NFS, så er det vigtigt at alle brugere på alle maskiner har samme UID/GID.
Har I nogen erfaringer med en centraliseret loginserver, som styrer logins på flere klientmaskiner?
Google nævner fx. LDAP, Kerberos og NIS.
LDAP forekommer lidt kompleks, og måske er det overkill til formålet.
Det foregår over lokalnetværk, så efter min umiddelbare vurdering behøver det ikke være overbeskyttet som Fort Knox.
Erfaringer ønskes, tak :)
PS: Serverne er primært CentOS/RHEL servere.
Eftersom vi har en central filserver, som de øvrige maskiner tilgår via NFS, så er det vigtigt at alle brugere på alle maskiner har samme UID/GID.
Har I nogen erfaringer med en centraliseret loginserver, som styrer logins på flere klientmaskiner?
Google nævner fx. LDAP, Kerberos og NIS.
LDAP forekommer lidt kompleks, og måske er det overkill til formålet.
Det foregår over lokalnetværk, så efter min umiddelbare vurdering behøver det ikke være overbeskyttet som Fort Knox.
Erfaringer ønskes, tak :)
PS: Serverne er primært CentOS/RHEL servere.
Kommentarer10
Har I nogen erfaringer
Jeg bruger hverken RHEL eller CentOS, men Windows Domain Controllers for nemhedens skyld, fordi der udover Linux også er Mac's og Windows klienter. Jeg går ud fra at denne metode ikke har interesse. Af samme grund bruger jeg heller ikke NFS.
Du kan formentlig konfigurere Linux serverne som PDC'ere med Samba som beskrevet her, uden at indblande LDAP, Keberos eller NIS. Jeg formoder at du dermed slipper for UID/GID bekymringer, men er ikke sikker.
http://www.broexperts.com/2011/06/how-to-configure-primary-domain-contr…
libnss-mysql
NSS er en del af systembiblioteket, og bruges blandt andet til at oversaette UID og GID til brugernavn og gruppenavn. Normalt er NSS sat til at anvende /etc/passwd og /etc/group, men dette kan aendres ved konfigurering af /etc/nsswitch.conf.
Ved hjaelp af libnss-mysql kan NSS saettes til at anvende en mysql database.
Hvis du er ligeglad med, at brugerne ikke kan bruge passwd kommandoen til at aendre deres password med, saa behoever du ikke at installere noget specielt PAM-modul ogsaa.
Se :
nsswitch.conf(5)
libnss-mysql
#1, tak for svaret, men i en
#1: Jeg formoder at du dermed slipper for UID/GID bekymringer
UID/GID er en feature og ikke en bug i denne sammenhæng. Vi vil gerne have UID, så vi eksempelvis kan se hvem, der senest har rettet i en fil.
Det er ikke hele opsætningen, der er til diskussion. Vi holder os til NFS, fordi det har virket i snart ti år nu. Jeg vil bare gerne have en nemmere måde at ensrette brugertabellerne på tværs af maskiner.
#2: Normalt er NSS sat til at anvende /etc/passwd og /etc/group, men dette kan aendres ved konfigurering af /etc/nsswitch.conf
Interessant. Jeg vil kigge nærmere på dette. Det lader også til at der er nogle muligheder uden at blande MySQL ind i tingene...
Jeg kunne dog stadigvæk godt tænke mig at høre fra folk, som har erfaring med Kerberos/NIS/LDAP :)
#Tukanfan
Kan man logge ind
Kan man logge ind på sin laptop, hvis ikke man er på et netværk som kan connecte til mysql serveren ?
Kan man logge ind på
At dømme på /etc/nsswitch.conf, så er det ligetil at opsætte en prioriteret rækkefølge:
# To use db, put the "db" in front of "files" for entries you want to be
# looked up first in the databases
#
# Example:
#passwd: db files nisplus nis
Det kræver selvfølgelig at du har en passwd-fil på lokalmaskinen. Den kan jo så fx. være reduceret ift. den centrale fil.
Så kommer problemet vel,
Så kommer problemet
Ja, formentlig - og ligeledes i det omvendte tilfælde. Jeg erindrer, at i Windows blev bruger-credentials cachet til brug i det tilfælde at domain-controlleren var utilgængelig. Det er faktisk netop et af de spørgsmål jeg har til de folk, der måtte have erfaring med Kerberos etc. : om man kan opnå samme funktionalitet (altså caching af credentials) :)
Jeg kunne dog
Jeg kunne dog stadigvæk godt tænke mig at høre fra folk, som har erfaring med Kerberos/NIS/LDAP :)
Jeg har ikke decideret praktisk erfaring med det men har fået læst manualerne(sidder i en breakfix og ikke opsætnigs rolle) Hvad jeg hører er at NIS er usikkert, forældet og dårligt tested på nyere linux distroer med LDAP som den foretrukne løsning(MS AD er baseret på LDAP+kerberos og kan sættes til at værre 110% kompatibelt).
Kerberos er auth alene, LDAP er den database der gemmer brugernavne og GID/UID'er. Rå LDAP+kerberos er noget kompliceret noget mens der findes ret gode færdigtpakkede løsninger, så tag et kig på redhat directory server som en turnkey løsning.
Du kan hvis du har travt og absolut ikke vil have LDAP forsøge med simpelt hen at replicere /etc/passwd og /etc/group mellem noderne men det er ikke en pæn løsning.
Hvis du er ligeglad med
Hvis du vil have lidt sikkerhed på, så gå efter LDAP, og få evt. kerberos eller certifikat på som kryptering.
Ang logons mm. så styres det af nsswich.conf filen som allerede nævnt. Det er vigtigt at have sin logon server, som primary her. I tilfælde af, at serveren er utilgængelig er det muligt at få cache sat på. Jeg kan dog ikke helt huske hvor det gøres henne.
(Har ikke den vilde praktisk erfaring, men har læst om emnet, og rodet lidt med det i et lukket sandkasse miljø)...
Du skulle prøve og kigge
http://wiki.samba.org/index.php/Samba4
Fortæl endelig hvordan det går