[BSD] ldap unix auth

Mohacsi Janos mohacsi at niif.hu
2012. Okt. 15., H, 11:41:17 CEST 


On Sun, 14 Oct 2012, Gabor HALASZ wrote:

> On 10/14/2012 9:25 AM, Andras POTOCZKY wrote:
>> sziasztok
>> 
>> Erdeklodnek, hogy mi a velemenyetek a unix user ldap authentikaciorol?
>> Gondolkodom rajta, hogy a sok szervert osszehozom 1 adatbazisba.
>> Mindenhol fenntartanek egy helyi root accountot, de minden mas user
>> account egy kozponti adatbazisbol jonne. Van ebben valakinek gyakorlati
>> tapasztalata?
>
> Van.
>
>> Vannak ismert buktatok?
>
> Csak azok vannak, de ha egy kicsit tagitani akarod a horizontot(nem csak unix 
> auth), akkor ezek szaporodnak.
>
>> Sokat nem szeretnek szivni vele,
>> de a kozpontositas jol jonne.
>
> Sokat fogsz szivni, foleg, ha nem dokumentaciot olvasol, hanem mindenfele 
> idetlen forumokat es howto-kat, amiket elotur a kugli.
>
> Nos, a root-on kivul minden user megoldhatatlan (nem csak root account kell a 
> bootolashoz, pl maga az ldap szerver sem root-kent fut, es az rcorder vegen 
> van, igy a tobbi szerver sem tud elindulni). A base accountok a password 
> fileben + a userek az ldap-ban viszont jol mukodik(a technikai korlatokat 
> figyelembeveve). BSD-n szerencsere a base accountok egyformak 
> (/usr/ports/UIDs), ha megsem, akkor szinkronizalni kell a base accountokat is 
> valami masolgatos megoldassal. Nalam most a kovetkez mukodik:
>
>
> heimdal---sasl---openldap---samba_ads
>                          |
>                          |--pam---unix_auth
>                          |      |-ssh_auth
>                          |      |
>                          |      |-sasl---sendmail
>                          |
>                          |--radius---mpd
>                          |         |-hostapd
>                          |
>                          |--pure_ftpd
>                          |
>                          |--lighttpd
>                          |--webappok
>                          |--dbmail
>                          |--dhcp
>
> Igy mindenkinen egy accountja (es latszolag egy, de valojaban ket passwordje) 
> van mindenhez, aztan az ldap-ban allitgatom a hozzafereseket. A management 
> kisse nehezkes, a usereket az smb-n keresztul krealom (idmapper, net rpc user 
> add vagy domain member windows-rol :), aztan egy ldapadmin-nal meg 
> utanaallitom mindazt, amit kell, illetve azon keresztul managelem (rakosgatom 
> ki/be a csoportokbol, stb...), a kerberos accountokat viszont kezzel kell 
> letrehozni (de oda csak a nevet kell beirni). Ha vegre lesz samba4, akkor ez 
> is elmulik talan, mint a gyikka valtoztatas :) Jah, es jol mukodo certificate 
> chain sem art hozza, mert ssl nelkul az ssf igen alacsony, es azt nem szereti 
> az openldap (bar lehet allitani, de tul alacsonyra nem erdemes, ha nem akarsz 
> vendeg adminokat :).


Tovabbi szivas lehet, hogy a ldap-ot erdemes cachelni, kulonben 
uid/gid -> nev transzlacio nagyon lassu lesz: idotlen idokig tart 
listazni sok uid/gid-et tartalmazo konyvtarakat.

Egyebkent egyetertek Halasz Gaborral.

Udv:

 		Janos

> _______________________________________________
> BSD levlista
> BSD at hu.freebsd.org
> https://lists.hu.freebsd.org/mailman/listinfo/bsd
>

További információk a(z) BSD levelezőlistáról