The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

единая авторизация через kerberos (auth kerberos)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>
Ключевые слова: auth, kerberos,  (найти похожие документы)
- RU.LINUX (2:5077/15.22) ------------------------------------------ RU.LINUX - From : Sergey Lentsov 2:4615/71.10 27 Mar 00 15:59:24 Subj : единая авторизация через kerberos ------------------------------------------------------------------------------- Hi DMITRY! On Fri, 24 Mar 00 10:51:31 +0200, DMITRY DERENOK wrote: DD> Какие ваpианты All может пpедложить? пока из ваpиантов - kerberos. У меня именно kerberos IV + несколько самописных скриптов для добавления пользователей. Единая база пользователей для меня была нужна только затем, чтоб на всех машинах у юзеров и групп были одни и те же uid-ы - чтоб с nfs проблем не иметь. Идея у меня такая: есть master server с базой пользователей, uid-ы котодых начинаются от, ну скажем 10000 - это так называемые domain users, все у кого uid меньше - локальные на этом сервере. Так же организованы и группы. При создании юзера на slave server-е, лезем по ssh на master и узнаём там uid и gecos создаваемого юзера, если его там нет - ну значит юзер будет локальным на этом slave server-е, если юзер есть на мастере - создаём его с таким uid и gecos на slave. Так же, при старте, slave сервер берет с master кусок /etc/group с gid > 10000 и дописывает к своему /etc/group предварительно выкинув из своего все группы с gid > 10000. Короче обновляются domain groups ;) Обновление можно затолкать в cron или заставить master при создании на нём domain group чтоб он пинал всех своих slaves. Hа мой взгляд такая схема имеет одно важное достоинство: она работоспособна даже если сдохнет мастер сервер - пароли важных пользователей можно еще дополнительно держать в /etc/passwd и написать в pam-е примерно так: auth required /lib/security/pam_securetty.so auth required /lib/security/pam_nologin.so auth sufficient /lib/security/pam_krb4.so auth required /lib/security/pam_unix_auth.so use_first_pass Hу и еще два маленьких преимущества такой схемы: 1. Если пользоваться nis или ldap, то пользователь может заходить на все машины в nis domain, мне это не очень нравится, хочу чтоб на мою машину заходили только те кому я разрешил. И заморачиваться с pam_listfile не очень хочется. ;) 2. Hе создаётся дополнительный траффик в сетке ;) -- /lenz --- slrn/0.9.6.2 (Linux) * Origin: Flying Penguin's Nest (2:4615/71.10@fidonet)

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

 Добавить комментарий
Имя:
E-Mail:
Заголовок:
Текст:




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру