abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 23:55 | Pozvánky

Spolek OpenAlt zve příznivce otevřených technologií a otevřeného přístupu na 145. brněnský sraz, který proběhne v pátek 20. října od 18:00 hodin v restauraci Time Out na adrese Novoměstská 2 v Řečkovicích. Jedná se o poslední sraz před konferencí OpenAlt 2017, jež proběhne o víkendu 4. a 5. listopadu 2017 na FIT VUT v Brně. Běží registrace účastníků.

Ladislav Hagara | Komentářů: 0
včera 21:44 | Nová verze

Byla vydána verze 5.2.0 multiplatformního virtualizačního nástroje Oracle VM VirtualBox. Jedná se o první stabilní verzi z nové větve 5.2. Z novinek lze zmínit například možnost exportování VM do Oracle Cloudu, bezobslužnou instalaci hostovaného systému nebo vylepšené GUI. Podrobnosti v seznamu změn. Aktualizována byla také dokumentace.

Ladislav Hagara | Komentářů: 1
včera 14:00 | Zajímavý projekt

Byl spuštěn Humble Down Under Bundle. Za vlastní cenu lze koupit multiplatformní hry The Warlock of Firetop Mountain, Screencheat, Hand of Fate a Satellite Reign. Při nadprůměrné platbě (aktuálně 3,63 $) také Hacknet, Hacknet Labyrinths, Crawl a Hurtworld. Při platbě 12 $ a více lze získat navíc Armello.

Ladislav Hagara | Komentářů: 0
včera 13:00 | Nová verze

Google Chrome 62 byl prohlášen za stabilní (YouTube). Nejnovější stabilní verze 62.0.3202.62 tohoto webového prohlížeče přináší řadu oprav a vylepšení. Vylepšeny byly také nástroje pro vývojáře (YouTube). Opraveno bylo 35 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 2
včera 11:00 | Zajímavý článek

Článek (en) na Mozilla.cz je věnován vykreslování stránek ve Firefoxu. V průběhu roku 2018 by se ve Firefoxu měl objevit WebRender, jenž by měl vykreslování stránek urychlit díky využití GPU.

Ladislav Hagara | Komentářů: 5
včera 08:22 | Bezpečnostní upozornění

NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) informuje o zranitelnosti ROCA v procesu generování RSA klíčů, který se odehrává v softwarové knihovně implementované například v kryptografických čipových kartách, bezpečnostních tokenech a dalších hardwarových čipech vyrobených společností Infineon Technologies AG. Zranitelnost umožňuje praktický faktorizační útok, při kterém útočník dokáže vypočítat

… více »
Ladislav Hagara | Komentářů: 3
včera 01:23 | Zajímavý software

Příspěvek na blogu otevřené certifikační autority Let's Encrypt informuje o začlenění podpory protokolu ACME (Automatic Certificate Management Environment) přímo do webového serveru Apache. Klienty ACME lze nahradit novým modulem Apache mod_md. Na vývoj tohoto modulu bylo uvolněno 70 tisíc dolarů z programu Mozilla Open Source Support (MOSS). K rozchození HTTPS na Apache stačí nově přidat do konfiguračního souboru řádek s ManagedDomain. Minutový videonávod na YouTube [reddit].

Ladislav Hagara | Komentářů: 3
17.10. 14:15 | Komunita

Daniel Stenberg, autor nástroje curl, na svém blogu oznámil, že obdržel letošní Polhemovu cenu, kterou uděluje Švédská inženýrská asociace za „technologickou inovaci nebo důvtipné řešení technického problému“.

marbu | Komentářů: 11
17.10. 13:40 | Pozvánky

Cílem Social Good Hackathonu, který se uskuteční 21. a 22. října v Brně, je vymyslet a zrealizovat projekty, které pomůžou zlepšit svět kolem nás. Je to unikátní příležitost, jak představit nejrůznější sociální projekty a zrealizovat je, propojit aktivní lidi, zástupce a zástupkyně nevládních organizací a lidi z prostředí IT a designu. Hackathon pořádá brněnská neziskovka Nesehnutí.

… více »
Barbora | Komentářů: 1
17.10. 00:44 | Pozvánky

V sobotu 21. října 2017 se na půdě Elektrotechnické fakulty ČVUT v Praze uskuteční RT-Summit – setkání vývojářů linuxového jádra a uživatelů jeho real-time verze označované jako preempt-rt.

… více »
Pavel Píša | Komentářů: 8
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (11%)
 (1%)
 (0%)
 (1%)
 (72%)
 (14%)
Celkem 79 hlasů
 Komentářů: 5, poslední dnes 07:28
    Rozcestník

    Centrální správa účtů a Single Sign-On v Linuxu

    23. 4. 2008 | Jiří Mlíka | Bezpečnost | 16284×

    Každá pořádná počítačová síť ve firmě nebo jiné větší organizaci musí mít centrálně spravované uživatelské účty. Centrální místo, ze kterého úzká skupinka zasvěcených mágů nazývajících se honosným titulem administrátoři rozhoduje o bytí či nebytí bídných smrtelníků (uživatelů) v magickém světě firemních počítačových systémů.

    Úvod

    Smrtelník, pardon uživatel, toužící využít systémů a služeb spravovaných tajemnými guruy, se musí nejprve představit – autentizovat, aby mohlo být ověřeno, jestli patří do skupiny vyvolených, kterým bylo administrátory milostivě přiznáno právo vstoupit.

    Zapomeňme teď na všechny ty moderní nesmysly, jako jsou čipové karty, otisky prstů nebo obrazy oční sítnice či duhovky, a předpokládejme, že se uživatel autentizuje pomocí svého uživatelského jména a hesla.

    Přestože se administrátoři a uživatelé od sebe v mnoha věcech zásadním způsobem liší, jednu věc mají společnou. Je to lenost. Lenost je hnací silou veškerého pokroku. U obou skupin se tato kladná povahová vlastnost projevuje odlišně. Uživatel nechce a možná ani není schopen pamatovat si víc než jedno heslo a nehodlá toto heslo psát znova a znova, když přistupuje k různým službám v síti. Administrátor, hodný tohoto jména, není ochoten obtěžovat se vytvářením účtu konkrétního uživatele více než jednou, přestože jeho síť obsahuje stovky systémů, ke kterým má mít daný uživatel přístup.

    Že je dobré mít jednu centrální databázi uživatelských účtů a skupin, objevili již mistři, kteří v dávné historii stáli u zrodu tajemného umění administrace. Jejich nesmělé pokusy typu NIS se z pohledu dnešní doby zdají být poněkud staromódní. Byli tu i odvážlivci, kteří následovali nové učení Windows domén, aby následně zcela přetvořili svoji víru a začali vzývat božstvo Active Directory. Toto nové náboženství však není zcela původní. Převzalo zvyky a obyčeje zvané Kerberos a LDAP, které velmi dobře slouží výše popisovanému účelu v unixovém světe a i za jeho hranicemi.

    Co najdeme v jednotlivých dílech seriálu

    2. Kerberos: přihlašování snadno a rychle

    Kerberos, jehož jméno nápadně připomíná bájného psa strážícího vstup do podsvětí, je služba pro centrální autentizaci. Na webu MIT, kde jej vytvořili, najdete definici, která říká, že Kerberos je protokol pro autentizaci po síti navržený tak, aby poskytoval silnou autentizaci pro klient/server aplikace založenou na šifrování pomocí tajného klíče (secret-key cryptography). Kerberos má jednu báječnou vlastnost, a tou je Single Sign-on ve zkratce SSO. SSO nám umožňuje zadat jméno a heslo pouze jednou např. při přihlášení k PC a pak již můžeme přistupovat ke kerberizovaným službám v síti bez nutnosti přihlašovací údaje zadávat znova. Jak pohodlné a přitom bezpečné.

    O konfiguraci serverové i klientské části Kerbera si povíme v druhém díle tohoto seriálu a nakonec se pomocí Kerbera do PC přihlásíme. Jistě si říkáte, že takovou ďábelskou věc musí být určitě velmi složité rozchodit. Opak je pravdou. Je to jednodušší, než by se mohlo zdát. My se na Kerberos budeme dívat jako na centrální databázi a sadu klientského a serverového softwaru, který nám pomůže uživatele ověřit pomocí jména a hesla při přihlášení do PC, popř. pomocí SSO při přístupu k nějaké službě.

    3. Jednotné účty v LDAP

    Uživatelský účet, to není jenom jméno a heslo. Každý uživatel, který chce spokojeně existovat v unixovém světě, potřebuje UID, GID, login shell a domácí adresář. Jedinci, kteří netrpí nějakou poruchou sociálního chování nebo přímo duševní chorobou, obvykle vyžadují, aby byli zařazeni do skupin. Tyto informace by také bylo dobré spravovat pomocí centralizované databáze, Kerberos to však neumí a myslím, že asi ani umět nechce. Budeme si muset vzít do party dalšího kamaráda. Jmenuje se LDAP. Adresářové služby nám umožní centrálně uložit a sdílet všechny informace, které bychom na samostatném systému našli v /etc/passwd a /etc/group. Avšak nejen to. LDAP nám umožní uložit i spoustu dalších informací o uživateli, jako je např. jeho e-mailová adresa. Tuto informaci může využít třeba doručovací poštovní server. Můžeme tak uživateli najednou spolu s uživatelským účtem založit i e-mailovou schránku. S LDAPem toho jde dělat mnohem, mnohem víc. Fantazii se meze nekladou.

    4. Kerberos a služby

    Ve čtvrtém díle tohoto seriálu si konečně vyzkoušíme SSO. Pokusíme se přesvědčit SSH, aby po nás nechtělo heslo a ověřilo si naši identitu pomocí Kerbera. Když se nám to podaří, naše administrátorské sebevědomí rapidně vzroste.

    5. Kerberos a sdílení souborů - NFS4

    Každá správná podniková síť musí mít také centrální souborový server. To je služba jako každá jiná. I tam je autentizace na místě. Jednotná UID a GID v celé síti se také hodí, máme-li serverů více. Co na to použijeme. NFS2/3? Ne, to žádnou bezpečnou autentizaci nepoužívá. To nechceme. CIFS? Ne, působí na Linuxu cize. AFS? Zajímavá volba. Používá Kerbera pro autentizaci. Údajně je dost složité. Necháme si ho raději na jindy. Tak co tedy? NFS4! Používá Kerbera a na Linuxu je jako doma. O konfiguraci serveru a klienta NFS4 si povíme v pátém díle seriálu.

    6. Kerberos a sdílení souborů - CIFS

    Souborový server už máme, ale jde to i jinak. CIFS jsem v předchozím textu označil za cizorodý prvek. Teď se mu za to omlouvám a beru jej zpět do klubu. O konfiguraci Samby jako CIFS serveru s Kerberos autentizací vám něco prozradím v šestém díle seriálu.

    7. Kerberos a webové služby

    Už jsem vám říkal, jak Apache a Firefox umějí Kerberos? Ne? Tak vám o tom povím v sedmém díle. Mohlo by se to jmenovat: „Přihlášení k firemnímu intranetu snadno a rychle“.

    8. Kerberos a LDAP

    Občas je dobré, aby se uživatel mohl „přihlásit k LDAPu“ (LDAP bind operace). Lze to s výhodou použít jako metodu autentizace u služeb, které nepodporují Kerberos, ale zato podporují LDAP. Dále se to hodí, když chceme autentizovanému uživateli umožnit měnit některé informace v LDAPu. To by nebyl problém, kdybychom u každého uživatele měli v LDAPu uloženo heslo nebo jeho hash. Jenže to my nemáme. My se autentizujeme pomocí Kerbera. Co s tím budeme dělat? Prostě ten LDAP s Kerberem integrujeme v osmém díle seriálu.

    9. Kerberos, LDAP a vysoká dostupnost

    Jak si tak vesele konfigurujeme podporu Kerbera a LDAPu u všeho možného v naší krásné vypiplané síti, pomalu v nás hlodá pochybnost, že kdyby nám náhodou ten Kerberos nebo LDAP „lehnul“, tak se můžeme jít klouzat. V devátém díle seriálu si povíme, jak nakonfigurovat záložní servery Kerbera a LDAPu a zajistit si tak vysokou dostupnost těchto kritických služeb.

    10. Kerberos a DNS - zjednodušujeme konfiguraci klienta

    Konfigurace klientské části Kerbera vyžaduje údaje, které se mohou v průběhu provozu měnit, jako jsou např. jména Kerberos serverů. Měnit konfigurační soubory na všech klientech, to není nic pro nás velké adminy. Naštěstí můžeme klienty komandovat centrálně. Pomůže nám v tom DNS v desátém díle seriálu.

    A ještě pár poznámek...

    Veškerá kouzla budu předvádět na distribuci Mandriva Linux 2007.1 (Spring). Pokud tato distribuce není zrovna vaše oblíbená, neděste se. Popisované postupy, snad kromě instalace balíčků, budou zcela univerzální a na distribuci nezávislé. Budeme používat Kerberos software z MIT, i když i s distribucí s Heimdal bychom dokázali dosáhnout zcela shodných výsledků.

    Když jsem se poprvé vrhl na tuto problematiku, musel jsem se prokousat několika návody, které se snažily většinou o dokonalou konfiguraci. Což se jim stejně nepodařilo. Příklady konfiguračních souborů obsahovaly spousty nastavení, která pro pochopení základů konfigurace Kerbera a LDAPu nebyla vůbec nutná. V tomto seriálu se rozhodně nebudeme snažit o dokonalou, supervýkonnou a ultrabezpečnou konfiguraci. Pouze si ukážeme, jak to všechno základním způsobem rozchodit. Mojí snahou je, aby seriál podnítil zájem co možná nejvíce odvážných experimentátorů, kteří rychle rozjedou svůj první Kerberos a pěkně si s ním pohrají, jako jsem si pohrál já, protože to je to, oč tu běží.

    Nejčtenější články posledního měsíce

    HW novinky: návrat skleněných ploten v HDD
    HW novinky: i Skylake-X s 12 jádry používá levnou teplovodivou pastu
    HW novinky: PCI Express 4.0 prý ještě letos

    Nejkomentovanější články posledního měsíce

    HW novinky: i Skylake-X s 12 jádry používá levnou teplovodivou pastu
    HW novinky: návrat skleněných ploten v HDD
    Jaderné noviny - 17. 8. 2017: Škálovaní souboru MAINTAINERS v jádře
      všechny statistiky »

    Seriál Centrální správa účtů a Single Sign-On (dílů: 8)

    Centrální správa účtů a Single Sign-On v Linuxu (první díl)
    »—> Kerberos: přihlašování snadno a rychle
    Kerberos a LDAP (poslední díl)

    Související články

    Integrace linuxového serveru do domény Windows 2003
    NFS+NIS+LTSP - přihlašování na server
    OpenSSH - bezpečně a pohodlně
    OpenSSH - více než jen Secure Shell
    SSL - je vaše bezpečné připojení opravdu zabezpečené?
    SSL - 1 (certifikáty)
    SSL - 2 (elektronický podpis)
    IPTraf - sledování sítě v reálném čase
    Podepisování a šifrování s GnuPG
    Samba - Linux jako server v sítích s Windows
    PEAR - III (Autentizace)
    Čo keď nechodí sieť?
    Mailserver s odvirováním pošty

    Odkazy a zdroje

    Kerberos: The Network Authentication Protocol

    Další články z této rubriky

    V sobotu se uskuteční konference CryptoFest
    Pozor na androidové aplikace
    Silent Circle představil bezpečný smartphone Blackphone 2
    Android je bezpečnější, řada hrozeb však stále přetrvává
    Avast varuje před nebezpečnými aplikacemi v Google Play
           

    Hodnocení: 100 %

            špatnédobré        

    Nástroje: Tisk bez diskuse

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    23.4.2008 00:18 1john2 | skóre: 35 | blog: jo12hn | zlín, brno
    Rozbalit Rozbalit vše Re: Centrální správa účtů a Single Sign-On v Linuxu
    držím palce ať se seriál povede, budu sledovat každý díl a rád se přiučím..
    23.4.2008 05:58 vencas | skóre: 32
    Rozbalit Rozbalit vše Re: Centrální správa účtů a Single Sign-On v Linuxu
    +1 (a doufám, že bude fungovat +- v debianu). Moje malé zkušenosti s Kerberem jsou přesně opačné - totiž že to bylo složité a nefunkční (možná je to těmi složitými návody): nakonec jsem to zabalil a účty jsou v LDAPu i s hashem hesla. Třeba se to nakonec ještě změní.
    23.4.2008 01:16 Jirka | skóre: 36
    Rozbalit Rozbalit vše Re: Centrální správa účtů a Single Sign-On v Linuxu
    No, minimálně o tu superbezpečnou by se asi autor měl pokusit.
    rudiik avatar 23.4.2008 12:12 rudiik | skóre: 16 | blog: rudiikuv miniblog
    Rozbalit Rozbalit vše Re: Centrální správa účtů a Single Sign-On v Linuxu
    Bezpecnost mimo jine zavisi i na urovni paranoiy administratora a celkovem razu dane instalace. Takze pro seznameni urcite postaci zakladni konfigurace bez nejakeho obr zabezpeceni. Nicmene by serialu mozna slusela kapitola venovana mistum potencialne slabym, kde bude nutne zajistit nejake zabezpeceni a pripadne odkazat na nejaka reseni. Kazdopadne jsem za takovy serial rad, protoze jsem cca pred tydnem zacal neco podobneho experimentalne stavet, takze se alespon mohu inspirovat a neco priucit.
    KDE 2.0 .. KDE 3.5.10 -> KDE 4.1 .. KDE 4.4.5 -> E17 Alpha/Beta -> Trinity 3.5.12 -> GNOME 2.30 -> KDE 4.6.5
    23.4.2008 01:29 Stevko
    Rozbalit Rozbalit vše Re: Centrální správa účtů a Single Sign-On v Linuxu
    Tak na tento seriál sa teším. Nakoniec si ho možno nechám vytlačený zviazať.
    23.4.2008 08:24 Honza "tux" Friesse | skóre: 15 | blog: Tuxův blog | Vyškov
    Rozbalit Rozbalit vše Re: Centrální správa účtů a Single Sign-On v Linuxu
    Na seriál se moc těším, protože SSO jsem chtěl nasadit už delší dobu. Nicméně mě vždy odradily věty typu: "Pokud OpenLDAP/Kerberos není správně vypnut, dojde ke zničení databáze. To vyřešíme synchronizací s n stroji...". Jenže co když těch n strojů není? NIS (byť není 2x bezpečný) je úplně bezúdržbový a prostě funguje, ale Kerberos i LDAP by přinesl hromadu výhod. Takže otázka. Jak je to s tím ničením databáze?
    23.4.2008 08:27 vencas | skóre: 32
    Rozbalit Rozbalit vše Re: Centrální správa účtů a Single Sign-On v Linuxu
    U (open)LDAPu jsem se s tím nikdy nesetkal. (kerberos: nevím).
    osladil avatar 23.4.2008 10:38 osladil | skóre: 12
    Rozbalit Rozbalit vše Re: Centrální správa účtů a Single Sign-On v Linuxu
    Ja bohuzel ano. Po 80ti dnech mi stroj necekane slitl stremhlav k dolu a pak uz jsem jen koukal na prazdnou databazi. Od te doby nejen replika na druhy stroj ale i obycejny slapcat > /backup/ldap/slapd-$(date +%Y%m%d-%H%M%S)
    23.4.2008 09:24 newman | skóre: 7
    Rozbalit Rozbalit vše Re: Centrální správa účtů a Single Sign-On v Linuxu
    Mozna bych vic ocenil komplexnejsi reseni a la FreeIPA, protoze vim, ze postaveni SSO na DirectoryServeru a GSS je dost bolestiva operace, ale budu rad, za kompletni sumar na jednom miste; diky :).
    23.4.2008 11:54 vencas | skóre: 32
    Rozbalit Rozbalit vše Re: Centrální správa účtů a Single Sign-On v Linuxu
    Už jste freeIPA někdo zkoušel? Podle stránke to vypadá super, ale to je spíš záležitost webmastera.
    23.4.2008 10:05 Lukáš Zapletal | skóre: 42 | blog: lzapův svět | Olomouc
    Rozbalit Rozbalit vše Re: Centrální správa účtů a Single Sign-On v Linuxu
    Tento seriál to bude bomba.
    23.4.2008 15:33 Jan Šimák | skóre: 37 | Hradec Králové
    Rozbalit Rozbalit vše Re: Centrální správa účtů a Single Sign-On v Linuxu
    +1
    díky autorovi! už se těším na pokračování.
    andree avatar 24.4.2008 13:35 andree | skóre: 39 | blog: andreeeeelog
    Rozbalit Rozbalit vše Re: Centrální správa účtů a Single Sign-On v Linuxu
    +1, uz sa neviem dockat, nechces to pastenut do blogu pre nedockavych? :o))
    23.4.2008 10:21 V3lbl^^d | skóre: 5 | Praha
    Rozbalit Rozbalit vše Re: Centrální správa účtů a Single Sign-On v Linuxu
    Bude se tesit. Diky autorovi..
    23.4.2008 12:50 dik
    Rozbalit Rozbalit vše Re: Centrální správa účtů a Single Sign-On v Linuxu
    Taky se tesim na pokracovani.. dik
    corwin78 avatar 23.4.2008 13:05 corwin78 | skóre: 10 | Ostrava
    Rozbalit Rozbalit vše Re: Centrální správa účtů a Single Sign-On v Linuxu
    Dík za tento seriál, už se těším :-)
    Uživatel GNU/Linux # 420871 | Uživatel Kubuntu # 5516 | Česká pirátská strana - "Internet je naše moře...".
    23.4.2008 13:16 fissie | skóre: 12 | blog: One little blog
    Rozbalit Rozbalit vše NFS3
    NFS2/3? Ne, to žádnou bezpečnou autentizaci nepoužívá

    To neni tak docela pravda, NFS3 se da s uspechem pres GSSAPI kerberizovat take, je to dokonce o par krucku jednodussi (odpada idmap na klientech a jednotny root s mountbindy na serverech) a dokonce je to i o par procent rychlejsi.
    danaketh avatar 23.4.2008 17:19 danaketh | skóre: 6 | blog: Sick Mind | Praha
    Rozbalit Rozbalit vše Re: Centrální správa účtů a Single Sign-On v Linuxu
    Super. Na tenhle seriál se těším.
    23.4.2008 17:49 j3nda | skóre: 14 | ostrava/brno
    Rozbalit Rozbalit vše Re: Centrální správa účtů a Single Sign-On v Linuxu
    +1 taky budu sledovat a rad se priucim. dost mozna, ze zmenim starou a zazitou politiku (nis+nfs) :-)
    ___---==~[ uxunilcba | baclniuxu ]~==---__sevrer_pnly_liunx-lkie_hcaricku__/libGDX-rulez-the-W0R7D!___
    23.4.2008 18:28 Ondar | skóre: 25 | blog: Linux_blog
    Rozbalit Rozbalit vše Active Directory?
    Také přidám svoje +1, ale musím říci, že ačkoli jsem Linuxák, tak v případě LDAP/Kerberos dávám přednost Active Directory. Tam to jde taky a je to jednodušší. Navíc AD ve Windows Server 2007 používá o dost více "Unix-friendly" strukturu, takže to je taky dobrá zpráva. Kdyby v seriálu byla zmínka o možnosti užití AD pro autentizaci uživatelů v Unixu, tak by to byla bomba.
    23.4.2008 18:41 Jiří Mlíka
    Rozbalit Rozbalit vše Re: Active Directory?
    No problem! :-)

    AD pro autentizaci uživatelů úspěšně používám včetně SSO. Možností, jak to udělat je více. Dokonce by se o tom dal napsat samostatný seriál.
    24.4.2008 10:25 Ondar | skóre: 25 | blog: Linux_blog
    Rozbalit Rozbalit vše Re: Active Directory?
    Perfektní. My to taky užíváme (i když pomocí komerčního produktu Centrify - www.centrify.com - funguje skvěle, ale NFSv4&sec=krb5i neudělám ani za boha). Takže pokud by se další díly tohoto článku této problematice věnovali, tak bych to ocenil nejen já :-)
    23.4.2008 19:40 Pavel
    Rozbalit Rozbalit vše Re: Centrální správa účtů a Single Sign-On v Linuxu
    Tak to bude paradni serial, uz se moc tesim! Je to presne o tom, co zanedlouho budu resit a tak se to hodi. Diky moc!
    23.4.2008 21:45 b0nd
    Rozbalit Rozbalit vše Re: Centrální správa účtů a Single Sign-On v Linuxu
    Diky za clanek, momentalne tento problem resime take. Nevyhodu pri vyuziti kerbera, nebo ldapu vidim v tom, ze je potreba vsechny systemy prekonfigurovat a ldap, ci kerberos musi byt budovan s vysokou dostupnosti. Napadlo nas to resit centralnim pristupovym serverem ktery bude vyuzivat soukromy klic pro openssh. Prihlaseni by mohlo pak probihat takto: sudo ssh server, nebo jen sudo server s aliasy v konfiguraci suda. Navic sudo se da nastavit tak aby informace cerpalo z ldapu. Jediny co je potreba udelat je zabezpecit pristupovy server a rozdistribuovat verejny klic. Dalsi moznosti je patch na openssh, ktery zajistuje cteni verejneho ssh-klice z ldapu, tim padem by odpadlo prihlasovani na centralni server. Jaky je vas nazor?
    2.5.2008 11:59 Adam Pribyl
    Rozbalit Rozbalit vše Re: Centrální správa účtů a Single Sign-On v Linuxu
    Me by tedy celkem zajimalo, jak v kerberizovane siti funguji mobilni klienti. Tedy notebooky atd. NFS a NIS mi v tomto smeru prijdou nepouzitelne.
    2.5.2008 12:52 Jiří Mlíka
    Rozbalit Rozbalit vše Re: Centrální správa účtů a Single Sign-On v Linuxu
    http://wiki.mandriva.com/en/Docs/SysAdmin/Server/Disconnected_Auth

    http://www.padl.com/OSS/pam_ccreds.html

    Otázkou zůstává, co dělat s domácími adresáři, pokud nejsou lokální, ale jsou uloženy na serveru.
    2.5.2008 20:40 Adam Pribyl | skóre: 15
    Rozbalit Rozbalit vše Re: Centrální správa účtů a Single Sign-On v Linuxu
    Prave... zvlaste kdyz pak NFS pri odtrhnuti od site znemozni cely system.

    Jedine hezke reseni, ktere me napada, je, ze dany pocitac obsahuje uzivatelum home i authentizace a v okamziku, kdy se pripoji k siti bude jeho home i login dostupny na vsech stanicich v siti prave z tohoto pocitace. To uz je ale asi neco jineho nez se bude v serialu diskutovat.
    3.5.2008 16:27 Jiří Mlíka
    Rozbalit Rozbalit vše Re: Centrální správa účtů a Single Sign-On v Linuxu
    Teď budu vařit z vody. Nemám to vyzkoušené ani nastudované, ale domnívám se, že jediné systémové řešení by bylo připojovat "home" adresáře přes nějaký souborový systém, který umí lokálně "kešovat" tak, aby byly soubory dostupné i bez připojení k síti. Po opětovném připojení by se pak provedla synchronizace. Někde jsem zahlédl, že by to snad mohlo umět AFS a možná i CODA. Bohužel nic z toho nemám vyzkoušeno, takže nemůžu říct.

    Dále mě napadá řešení na způsob roaming profile z Windows. Při přihlášení a odhlášení uživatele spustit pomocí nějakého vhodného PAM modulu (např. pam_exec) třeba rsync a lokální domovský adresář uživatele synchronizovat se serverem. V případě, že server není dostupný, je na lokálním harddisku k dispozici poslední verze domácího adresáře.
    26.5.2008 17:07 LuděkS | skóre: 30 | blog: publish | Liberec
    Rozbalit Rozbalit vše Re: Centrální správa účtů a Single Sign-On v Linuxu
    +1 Děkuji za odhodlání pustit se do tohoto tématu a přeju vytrvalost a úspěch při jeho dokončování.
    Osobně se mi to také velmi hodí, protože se právě chci pustit do LDAPu. Díky a hodně zdaru! :-)

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.