AbcLinuxu:/ Blogy / Bleabr / Rady / Jednoduchy idetity management

Jednoduchy idetity management

14.2.2008 23:47 | Přečteno: 1220× | Rady |

Dobrý večer přeji všem. Do rukou se mi dostalo do rukou několik (27) počítačů. A já mám vyřešit jejich správu, respektive zakládaní účtů. K tomu se ale dostanu později. Neměl jsem s takovouto věcí zkušenosti, tudíž nevím od čeho se odpíchnout.

Krátce popíši situaci. Oněch 27 PC je pro více uživatelů, na každém se vystřídá cca 6 uživatelů. Každý uživatel by měl mít k dispozici svůj /home. Uživatelé se kompletně vymění jednou za půl roku. Po této výměně již nejsou jejich data potřebná a můžou být odstraněna.

Požadavky jsou tedy následující:

1. Centralizovaná zpráva uživatelů, tím myslím, že by mělo být jednoduché uživatele přidávat. Nejlepší by byl export z Nowelu, ale není to podmínkou. Jde prostě o to, abych nemusel uživatele do databáze bušit každého půl roku ručně. Rovněž je důležité aby se daly uživatelé hromadně odebírat, nejlépe se vším všudy.
2. Přihlášením uživatele, by mělo dojít k tvorbě domovského adresáře. Rovně nastavení by mělo být centralizované (tohle by se dalo řešit LDAPem).
3. Zálohování domovského adresáře na záložní server, jednou týdně (zatím řešeno skriptem v CRONu).
4. Systém by měl být jednoduchý. Představuji si něco jako Sun Identity Manager, ale tohle řešení se pro moji situaci moc nehodí. Bylo by to jako kanón na vrabce.
5. Nejlépe nějaké webové rozhraní pro zprávu.

Vím, že požadavky nejsou skromné, ale pokud jste řešili někdy podobný problém prosím podělte se se mnou o výsledek. Děkuji.

Tiskni Sdílej:

Komentáře

Vložit další komentář

Co následující řešení?

• centrální LDAP pro uživatele a skupiny
• pokud si s tím chceš pohrát, tak můžeš využít i Kerberos pro ověřování, může se hodit i u NFS
• domácí adresáře na centrálním NFS serveru
• domácí adresáře mountované přes autofs při přihlášení uživatele
• skript pro zakládání uživatelů do LDAPu a jejich mazání zároveň vytvoří domácí adresář - to jde udělat i přes web
• zálohování se řeší centrálně pro jeden server, takže pohoda

- rizika: výpadek LDAPu nebo NFS sejme celou síť (i když u LDAPu se to dá trochu řešit přes NSCD a pam_ccreds). U NFS by šel udělat cluster, ale to je také možná zbytečné.

- plus: spravuješ to na jednom místě

Jen by to asi chtělo nějakou rozumnou síťovou infrastruktur, s 10Mbps koaxem si asi nevystačíš...

SUN IdM je na tohle po technické stránce prima, ale je to dost drahé řešení a tak torchu je to jako jít s kanónem na vrabce - i když... kdyby se dal nasadit v celé síti tak by to mohlo být zajímavé, kde to vůbec řešíš? Podle toho půlroku bych řekl že nějaká VŠ, jestli to není tajné, napiš kde to je.

-- Nezdar není hanbou, hanbou je strach z pokusu.

15.2.2008 00:33 pele | skóre: 28 | blog: Bleabr | UH
Rozbalit Rozbalit vše Re: Jednoduchy idetity management

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Co následující řešení?

• centrální LDAP pro uživatele a skupiny

Presne tady sem narazil, jak vyexportovat uzivatele z Novelu do LDAP. Busit to rucne je nesystemove.

SUN IdM je na tohle po technické stránce prima, ale je to dost drahé řešení a tak torchu je to jako jít s kanónem na vrabce - i když... kdyby se dal nasadit v celé síti tak by to mohlo být zajímavé, kde to vůbec řešíš? Podle toho půlroku bych řekl že nějaká VŠ, jestli to není tajné, napiš kde to je.

ZCU to neni:) Pred chvilkou sem se dival na tvoji prednasku o SUN IdM, pekne:) Je to VUT ale ciste pro me pohodli, nic oficialniho, dotal sem proste volnou ruku.

Pravda má jednu velkou výhodu: člověk si nemusí pamatovat, co řekl.

15.2.2008 00:42 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: Jednoduchy idetity management

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Co za verzi novellu používáte? Nesedí tam někde eDirectory? Případně máš nějakou možnost vyexportovat uživatele v rozumném tvaru (novell moc neznám, takže ti nemůžu poradit konkrétní nástroj, ale na webu novellu se píše něco o ConsoleOne)?

-- Nezdar není hanbou, hanbou je strach z pokusu.

15.2.2008 08:57 CET
Rozbalit Rozbalit vše Re: Jednoduchy idetity management

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Co následující řešení?

• centrální LDAP pro uživatele a skupiny

Presne tady sem narazil, jak vyexportovat uzivatele z Novelu do LDAP. Busit to rucne je nesystemove.

Mam dojem, ze tam budes nejaky to eDirectory mit. Pokud jo, je to obyc LDAP, takze ldapsearch (pouze dulezita pole - uid, cn, sn, givenname, mail, userpassword) a muzes treba i nechat strom (nebo prepsat na ten, co mas v tom druhym LDAPu) a pak to nacpat do svyho ldapu. Ikdyz jak to tak pisu, tak bys mohl rovnou napojit cely ten system na ten Novell eDirectory.

SUN IdM je na tohle po technické stránce prima, ale je to dost drahé řešení a tak torchu je to jako jít s kanónem na vrabce - i když... kdyby se dal nasadit v celé síti tak by to mohlo být zajímavé, kde to vůbec řešíš? Podle toho půlroku bych řekl že nějaká VŠ, jestli to není tajné, napiš kde to je.

ZCU to neni:) Pred chvilkou sem se dival na tvoji prednasku o SUN IdM, pekne:) Je to VUT ale ciste pro me pohodli, nic oficialniho, dotal sem proste volnou ruku.

Pokud clovek Sun IDM umi opravdu dobre, tak se da urcite dobre nastavit. Akorat pokud ho clovek neumi, chce jenom spravovat ucty (pridat uzivatele, zmenit heslo, zrusit uzivatele), tak je to fakt zbytecny a clovek si rychlejc napise vlastni PHP web rozhrani na spravu uzivatelu, nez se celej system nauci, pochopi ho a upravi k obrazu svymu.

15.2.2008 10:04 Raduz
Rozbalit Rozbalit vše Re: Jednoduchy idetity management

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Pokud je ten Novell novy (tzn. OES Netware 6.5), tak neni moc co exportovat - eDirectory ma LDAP rozhrani, bezne LDAP nastroje bez problemu funguji. Ona teda LDAP umela uz i stara petka Netware, ale pamatuju se ze se mi to chovalo nejak divne - nicmene to mohlo byt rukama Pokud nechces pouzivat primo Netware, tak data do LDIF dostanes bud primo pomoci novellovskeho ice.exe, nebo nejakym LDAP browserem. Osobne pouzivam Netware jako autentikacni backend pro Courier IMAP server a na nem visici SquirrelMail (sehnat nejaky reseni pro postu je na Netware docela problem, pokud tedy clovek nechce poridit rovnou GroupWise) prave prostrednictvim LDAP rozhrani, a jede to jak z praku.

15.2.2008 08:52 CET
Rozbalit Rozbalit vše Re: Jednoduchy idetity management

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

U NFS by šel udělat cluster, ale to je také možná zbytečné.

Mohl bych dostat nejaky odkaz na popis? Mam ted dva stroje, partisna mirrorvana pres drbd a potreboval bych tu partisnu nasdilet pres NFS. Mam pres heartbeat rozbehany spesl IPcko na NFS i automaticky primounteni oddilu na aktivni NFS server, lvm aktivaci a drbd aktivaci. Bohuzel jsem narazil na tom, ze NFS si zapisuje stavy na lokalni disk a po prehozeni heartbeatem na druhej stroj uz namountovanej NFS neni dostupnej. Takze ted chci zkusit openafs, kterej by mel byt distribuovany. Ale zajimalo by me, jestli by to slo rozchodit pres NFS.

• domácí adresáře na centrálním NFS serveru
• domácí adresáře mountované přes autofs při přihlášení uživatele

Asi bych nechal cely home pres NFS, pak by se nemely vyskytnout problemy, ze se nekomu home nepripojil, navic by se dalo vyuzit i pam module na vytvoreni home diru.

- rizika: výpadek LDAPu nebo NFS sejme celou síť (i když u LDAPu se to dá trochu řešit přes NSCD a pam_ccreds). U NFS by šel udělat cluster, ale to je také možná zbytečné.

Urcite delat mirror (LDAP replikaci, bud pouze jednosmernou u openlap, nebo master-master napr. se Sun DirServer), u NFS by slo pouzit napr. DRBD.

- plus: spravuješ to na jednom místě

... k nezaplaceni - to je na tom opravdu to nejlepsi.

Založit nové vlákno • Nahoru