Единая авторизация и каталоги пользователей

[nesferato]

Хотелось бы понять в правильном ли направлении я мыслю.
Есть сеть из 40 компов и 2 серверов. Хочу, чтобы пользователь мог залогиниться на любую машину и иметь, свои права, настройки, доступ к своему рабочему каталогу (а-ля Active Directory в MS). Собственно, как я понимаю надо на одном из сервером настроить NFS, чтобы потом всем машинам монтировать единый директорию /home, а также поднять NIS для единой авторизации.
Правильно ли это или есть более грамотные\стабильные способы?

[elide]

ну про NFS - это да. а как иначе?
а вот NIS.... хм. как-то не модно щас... щас вон все в LDAP пихают....

[BigKAA]

Хотелось бы понять в правильном ли направлении я мыслю.
Есть сеть из 40 компов и 2 серверов. Хочу, чтобы пользователь мог залогиниться на любую машину и иметь, свои права, настройки, доступ к своему рабочему каталогу (а-ля Active Directory в MS). Собственно, как я понимаю надо на одном из сервером настроить NFS, чтобы потом всем машинам монтировать единый директорию /home, а также поднять NIS для единой авторизации.
Правильно ли это или есть более грамотные\стабильные способы?

NIS - это огромная ошибка компании SUN. Они потом пытались ее исправить при помощи NIS+ и NYS

Пользуй LDAP - мощная, гибкая и легко управляемая система, без проблем с безопасностью (в отличии от NIS). На выбор есть 3! бесплатных сервера: OpenLDAP, Novell eDir и что то там еще RedHat выложил (кажись бывший сервер Нетскейповский). Учитывая количество пользователей - можно и OpenLDAP обойтись.

С LDAP напрямую (без костылей типа PAM) великолепно работаю почтовые сервера, Samba и прочее...

[nesferato]

Огромное всем спасибо! Буду изучать OpenLDAP

[elide]

BigKAA
т.е. иметь в каждой проге собственные, несовместимые ни с чем, механизмы AAA, которые настраиваются собственными конфигами самых разнообразных форматов - это хорошо и правильно. а PAM - это костыль?

[BigKAA]

BigKAA
т.е. иметь в каждой проге собственные, несовместимые ни с чем, механизмы AAA, которые настраиваются собственными конфигами самых разнообразных форматов - это хорошо и правильно. а PAM - это костыль?

В случае с LDAP PAM - это костыль.

Кста... не надо забывать про стандартную систему nsswitch

[elide]

В случае с LDAP PAM - это костыль.

ну а аргумент какой-нить можешь привести? или так, просто поумничать?

не надо забывать про стандартную систему nsswitch

если ты не понимаешь, что это разные вещи, которые изначально разрабатывались для достижения различных целей, то с моей стороны вопросов больш ене следует (:

[BigKAA]

В случае с LDAP PAM - это костыль.

ну а аргумент какой-нить можешь привести? или так, просто поумничать?

не надо забывать про стандартную систему nsswitch

если ты не понимаешь, что это разные вещи, которые изначально разрабатывались для достижения различных целей, то с моей стороны вопросов больш ене следует (:

ОК. Когда в Linux начали использовать glibc v2, там появился стандартный механизм переключателей. Согласись, если он находится внутри glibc - то он стандартный.

Что делает nsswitch? Позволяет перебирать различные источники с данными, в том числе:

passwd: files ldap nis
shadow: files ldap nis
group: files ldap nis

Ну ты умный, и понимаеш что это означает.

Этот перебор является стандартным механизмом.

Что такое PAM? Это дополнительное ПО. В котором решили добавить функциональные возможности только для механизма аутентификации.

В подавляющем большинстве случаев PAM не нужен. Ну например, проверить есть ли такой пользователь, проверить соотношение логин UID, проверить правильность пароля. Вообщем - аутентификационная информация.

PAM - это костыли (поскольку не является стандартной системой, а используется по дополнительному соглашению или желанию хозяина дистрибутива) которые добавляют чере Ж дополнительную функциональность к системе аутентификации.

Для того что бы программы могли использовать PAM им об этом необходимо говорить на стадии компиляции. И вообще - возможность использования PAM должна быть предусмотрена в коде программы. Для использования nsswitch дополнительного кода не требуется, т.к. - этот механизм является стандартным для системы. Программе достаточно обратится к системе аутентификации (что является стандартным действием) и уже сама система будет искать данные в разных источниках.

Большинство серьезных программ (почтовые сервера, самба, прокси и т.д.) могут обращаться напрямую к LDAP, без использования PAM.

Конечно PAM - удобная штука, но только в весьма экзотических ситуациях. То что его начали лепить куда не поподя... Ну я в этом не виноват Повторюсь, в большинстве случаев он не нужен. Кстати, пример Slackware Linux прекрасно показывает, что можно обходиться без PAM. В Слаке его просто нет! B) .

[elide]

BigKAA
значит у нас просто разное понимание понятия костыль.....

в качестве примера - попробуй реализовать через nsswitch диалоговую аутентификацию по контрольным вопросам, например, чтоб у юзера спрашивало его фамилию, год распада CCCP и название самой лучшей ОС. и пускало бы при трех правильных ответах.

[BigKAA]

BigKAA
значит у нас просто разное понимание понятия костыль.....

в качестве примера - попробуй реализовать через nsswitch диалоговую аутентификацию по контрольным вопросам, например, чтоб у юзера спрашивало его фамилию, год распада CCCP и название самой лучшей ОС. и пускало бы при трех правильных ответах.

О нет! Я этого делать не буду, это извращение и издевательство над пользователями

[elide]

кстати, что это за беспредел? кто правил мое сообщение? у меня там раза в 4 больше текста было.......

это извращение и издевательство над пользователями

это не имеет отношения к сути вопроса. ты говоришь, что nsswitch - не костыль, а нормальное полнофункциональное решение. а я просто привожу пример того, что в некоторых условиях оно нихрена не работает, потому как создавалось в совершенно других целях, никакого прямого отношения к PAM не имеет. а потому все рассуждения про то, что PAM - костыль, а nsswitch рулит - несостоятельны.

если тебе не нравится предложенный вариант, то можешь рассказать, как через nsswitch прикрутить нормальную работу LDAP/Kerberos. для многих это очень актуальная задача.

[BigKAA]

кстати, что это за беспредел? кто правил мое сообщение? у меня там раза в 4 больше текста было.......

это извращение и издевательство над пользователями

это не имеет отношения к сути вопроса. ты говоришь, что nsswitch - не костыль, а нормальное полнофункциональное решение. а я просто привожу пример того, что в некоторых условиях оно нихрена не работает, потому как создавалось в совершенно других целях, никакого прямого отношения к PAM не имеет. а потому все рассуждения про то, что PAM - костыль, а nsswitch рулит - несостоятельны.

если тебе не нравится предложенный вариант, то можешь рассказать, как через nsswitch прикрутить нормальную работу LDAP/Kerberos. для многих это очень актуальная задача.

Ну если ты почитаеш, что я писал раньше, то увидиш

Что такое PAM? Это дополнительное ПО. В котором решили добавить функциональные возможности только для механизма аутентификации.

В подавляющем большинстве случаев PAM не нужен. Ну например, проверить есть ли такой пользователь, проверить соотношение логин UID, проверить правильность пароля. Вообщем - аутентификационная информация.

То что ты предложил выше - нужно единицам, для них был выдуман PAM. Например мне никогда не приходилось решать такую задачу. Просто никто еще не додумался передо мной ее поставить Но это совсем не значит, что это никому не надо. Более того я никогда не утверждал, что при помощи стандартных средств можно решить все задачи. Если бы было можно - ну тогда бы PAMне выдумывали бы.

Керберос не знаю. Ну а какие проблемы с LDAP? Я же уже говорил, что многие программы умеют с ним рабоать напрямую.

С LDAP напрямую (без костылей типа PAM) великолепно работаю почтовые сервера, Samba и прочее...

[RedStalker_Mike]

Пакет самба решает многие вопросы в купе с памом; также самба + ldap неплохо смотрится.
А вот NFS, имхо, при всё моём уважении, уже старо(

[TuLiss]

Пакет самба решает многие вопросы в купе с памом; также самба + ldap неплохо смотрится.
А вот NFS, имхо, при всё моём уважении, уже старо(

ахха на столько старо, что до сих пор пользуется и развивают =) особенно коммерческую часть.

[RedStalker_Mike]

NFS сама по себе не применима в современных гетерогенных сетях, поскольку я ещё не встречал за всю историю клиента НФС для винды. А вот самба - это универсальное решение, в отличие от НФС. Умеет очень многое, и её развитие движется дальше, поскольку я могу судить (уже поддерживаются фичи Active-X), а для файл сервера и сервера для пользователей (их домашние каталоги), как Юникс так и Виндовс - очевидное, простое, и прозрачное решение.

[nesferato]

Сеть я планирую не гетерогенную, а всю на линухах. И мне кажется, что NFS в самый раз подойдёт.
А насчет nfs-клиентов под Windows можно посмотреть, кажется, тут: hттp://www.crossmeta.com/

[RedStalker_Mike]

тем более. Мутить нис - оно вам надо? ПАМ и самба сделают своё славное дело, и вы получите прозрачное, гибкое и расширяемое решение.

[nesferato]

Так выше же было сказано, что мутить NIS\NIS+\NYS не буду. А буду с OpenLDAP.

ПАМ и самба сделают своё славное дело, и вы получите прозрачное, гибкое и расширяемое решение.

↑

-- которого я пока не вижу, в силу своих не очень общирных познаний
И, кстати, если PAM так хорош, почему его нет у Патрика? (извиняйте за повотор )

[RedStalker_Mike]

потому что пам предоставляет модкльность с ауентификацей. Т.е. весь процесс ауентификации разбит на шаги, и на каждом шаге производится некоторое действие. А какое оно - в этом и вся суть. Хочешь, в базёнку слазь, дёрни оттуда юзверя, хочешь - ещё что нить придумай.

А Патрик... Он конечно крут, но его фразу, типа "openldap sucks" и "pam sucks", я не понимаю...

[nesferato]

А Патрик... Он конечно крут, но его фразу, типа "openldap sucks" и "pam sucks", я не понимаю...

↑

Тем не менее в slackware-current появился openldap-client. Что меня более убеждает копать в сторону
OpenLDAP

[RedStalker_Mike]

ну, это тоже неплохое решение, потому как самба умеет ауентифицировать через LDAP

[nesferato]

Хм. Поправьте меня, если я не прав. Но зачем тут SAMBA использовать? Просто прочитав SMB-HOWTO(не для рассмотрения вопроса этой темы), мне кажется что SAMBA нужен для того, чтобы осуществлять взаимодействие Windows <-> Linux. А если все на Linux...

[BigKAA]

Хм. Поправьте меня, если я не прав. Но зачем тут SAMBA использовать? Просто прочитав SMB-HOWTO(не для рассмотрения вопроса этой темы), мне кажется что SAMBA нужен для того, чтобы осуществлять взаимодействие Windows <-> Linux. А если все на Linux...

Не слушайте их. Если сеть только Линукс - используйте NFS или CODA. SMB сети - жуткие тормоза.

Моим друзьям как то потребовалось перегнать по сети кучу файлов с Линукс на Линукс. Ну они решили поднять Самбу Хорошо, что я рядом был Быренько им NFS настроил. Когда они увидели скорость, с которой она работает - они сразу забили на самбу и начали искать клинты NFS под винды .

Зачем Вам в Линукс имплантант из Виндов?

[nesferato]

Зачем Вам в Линукс имплантант из Виндов?

↑

Вот-вот и я про тоже. Просто тут так упорно звучало SAMBA+LPAD, что меня взяли сомнения

[TuLiss]

Зачем Вам в Линукс имплантант из Виндов?

↑

Вот-вот и я про тоже. Просто тут так упорно звучало SAMBA+LPAD, что меня взяли сомнения

не слушайте всяких еретиков =)

[RedStalker_Mike]

Хм. Поправьте меня, если я не прав. Но зачем тут SAMBA использовать? Просто прочитав SMB-HOWTO(не для рассмотрения вопроса этой темы), мне кажется что SAMBA нужен для того, чтобы осуществлять взаимодействие Windows <-> Linux. А если все на Linux...

Даже если всё на Линукс. Чем по сути дела в данном вопросе отличается самба от нфс? разве что нис не надо подымать А это существенный плюс.

2BigKAA:
Я в своей практике встречал гораздо меньше проблем с самбой, чем с нфс. Взять те же локи, с которыми проблем гораздо больше в нфс, чем в самбе. C точки зрения безопасности самба выглядит лучше.

И вообще, если брать темпы развития самбы и темпы развития той же коды или нфс, то думаю, лидерство будет за первой.

Гораздо эффективней сделать самбу + тот же лдап, либо через тот же mysql, и получить решение, которое надёжно работает, содержит встроенные средства админисрирования, + возможность написания всяческих интерфейсов для администрирования (в случае с бд), чего нельзя сказать о nfs/coda + nis.

А пам - это хороший и эффективный механизм, который широко применяется, и позволяет ауентифицировать через всё что угодно, и фразы а ля Патрик здесь абсолютно неуместны.

[TuLiss]

А пам - это хороший и эффективный механизм, который широко применяется, и позволяет ауентифицировать через всё что угодно, и фразы а ля Патрик здесь абсолютно неуместны.

В жизни как то обходимя без этого =) И жизнь кажется спокойнее. ^_^

[Loky]

А Патрик... Он конечно крут, но его фразу, типа "openldap sucks" и "pam sucks", я не понимаю...

Поработай с полнофункциональными коммерческими LDAP-каталогами, тогда поймешь Патрика.

[BigKAA]

Хм. Поправьте меня, если я не прав. Но зачем тут SAMBA использовать? Просто прочитав SMB-HOWTO(не для рассмотрения вопроса этой темы), мне кажется что SAMBA нужен для того, чтобы осуществлять взаимодействие Windows <-> Linux. А если все на Linux...

Даже если всё на Линукс. Чем по сути дела в данном вопросе отличается самба от нфс? разве что нис не надо подымать А это существенный плюс.

2BigKAA:
Я в своей практике встречал гораздо меньше проблем с самбой, чем с нфс. Взять те же локи, с которыми проблем гораздо больше в нфс, чем в самбе. C точки зрения безопасности самба выглядит лучше.

И вообще, если брать темпы развития самбы и темпы развития той же коды или нфс, то думаю, лидерство будет за первой.

Гораздо эффективней сделать самбу + тот же лдап, либо через тот же mysql, и получить решение, которое надёжно работает, содержит встроенные средства админисрирования, + возможность написания всяческих интерфейсов для администрирования (в случае с бд), чего нельзя сказать о nfs/coda + nis.

А пам - это хороший и эффективный механизм, который широко применяется, и позволяет ауентифицировать через всё что угодно, и фразы а ля Патрик здесь абсолютно неуместны.

А кто говорит, что надо использовать NIS? NFS - это сетевая файловая система. LDAP- директория, совсем другое. Задача LDAP раздавать пользователей (синхронизация учетных записей). Задача NFS - раздавать файлы. Причем NFS поддерживает все аттрибуты UNIX файловых систем. Скорость - круче не бывает. Зачем тогда тут Samba?

Тогда давай домены НТ в линукс поднимать

[elide]

нашел еще одну прикольную штуку для создания директорий. называется Hesiod.
делают те же парни из MIT, которые приложили руки к Kerberos.
так что, не лдапом единым (: