[BSD] ldap unix auth

Gabor HALASZ halasz.g at freemail.hu
2012. Okt. 14., V, 12:16:30 CEST 

On 10/14/2012 9:25 AM, Andras POTOCZKY wrote:
> sziasztok
>
> Erdeklodnek, hogy mi a velemenyetek a unix user ldap authentikaciorol?
> Gondolkodom rajta, hogy a sok szervert osszehozom 1 adatbazisba.
> Mindenhol fenntartanek egy helyi root accountot, de minden mas user
> account egy kozponti adatbazisbol jonne. Van ebben valakinek gyakorlati
> tapasztalata?

Van.

> Vannak ismert buktatok?

Csak azok vannak, de ha egy kicsit tagitani akarod a horizontot(nem csak 
unix auth), akkor ezek szaporodnak.

> Sokat nem szeretnek szivni vele,
> de a kozpontositas jol jonne.

Sokat fogsz szivni, foleg, ha nem dokumentaciot olvasol, hanem 
mindenfele idetlen forumokat es howto-kat, amiket elotur a kugli.

Nos, a root-on kivul minden user megoldhatatlan (nem csak root account 
kell a bootolashoz, pl maga az ldap szerver sem root-kent fut, es az 
rcorder vegen van, igy a tobbi szerver sem tud elindulni). A base 
accountok a password fileben + a userek az ldap-ban viszont jol 
mukodik(a technikai korlatokat figyelembeveve). BSD-n szerencsere a base 
accountok egyformak (/usr/ports/UIDs), ha megsem, akkor szinkronizalni 
kell a base accountokat is valami masolgatos megoldassal. Nalam most a 
kovetkez mukodik:


heimdal---sasl---openldap---samba_ads
                           |
                           |--pam---unix_auth
                           |      |-ssh_auth
                           |      |
                           |      |-sasl---sendmail
                           |
                           |--radius---mpd
                           |         |-hostapd
                           |
                           |--pure_ftpd
                           |
                           |--lighttpd
                           |--webappok
                           |--dbmail
                           |--dhcp

Igy mindenkinen egy accountja (es latszolag egy, de valojaban ket 
passwordje) van mindenhez, aztan az ldap-ban allitgatom a 
hozzafereseket. A management kisse nehezkes, a usereket az smb-n 
keresztul krealom (idmapper, net rpc user add vagy domain member 
windows-rol :), aztan egy ldapadmin-nal meg utanaallitom mindazt, amit 
kell, illetve azon keresztul managelem (rakosgatom ki/be a csoportokbol, 
stb...), a kerberos accountokat viszont kezzel kell letrehozni (de oda 
csak a nevet kell beirni). Ha vegre lesz samba4, akkor ez is elmulik 
talan, mint a gyikka valtoztatas :) Jah, es jol mukodo certificate chain 
sem art hozza, mert ssl nelkul az ssf igen alacsony, es azt nem szereti 
az openldap (bar lehet allitani, de tul alacsonyra nem erdemes, ha nem 
akarsz vendeg adminokat :).

További információk a(z) BSD levelezőlistáról