Zentrale Benutzerverwaltung

xGhost

xGhost

OpenBSD Freack
Moins

Wie die überschrift schon sagt, suche ich eine
Möglichkeit eine Zentrale Benutzerverwaltung zu machen.
Zwar unter OpenBSD <=> FreeBSD kompatibel.

Oder nach genauer gesagt, das passwd soll überall abgeglichen
werden. Wenn ich auf dem Computer A das PW ändere,
soll es auf dem Computer B auch geändert werden.
Das gleiche beim erstellen eines Benutzers.

Die meisten, oder alle?, würden jetzt Openldap sagen.
Aber irgend wie ist das noch ned ausgereift... oder?
Funct ja zum Teil nur mit Erweiterungen ect... welche
aber dann nur auf FreeBSD und ned auch noch auf
OpenBSD greifen.

Gibt es jetzt noch andere Möglichkeiten?
z.B. schon im Userland mitgelieferte tools?

Oder soll ich mir etwas im Perl/Shell Scripten...?
Was könnt ihr mir empfehlen?

Greets,
Ghost
 
ich hatte mich vor einigen jahren mit dem thema single sign on beschaeftigt. damals war LDAP das was dem am naechsten kam.
 
Das geht mit NIS bzw. LDAP taugt genau für sowas und openldap ist auf OBSD sowie FBSD implementiert
 
Falls du Notebooks im Einsatz hast, scheidet LDAP unter den *BSDs zur Zeit wohl aus.:mad:
Leider ist NSS_updatedb und PAM_creeds nicht unter FreeBSd verfügbar, wie es bei OpenBSD ist, weiss ich nicht genau.
Als Alternative könntest du auf jedem Notebook ein Slave-LDAP-Server einrichten.

Habe aus diesem Grund mein Notebook nicht eingebunden. Mit meinem FreeBSD/Samba-Server und den FreeBSD- und Windows-Clients funktioniert das von dir gewünschte einwandfrei. "Nur" mein FreeeBSD-Notebook bleibt aussen vor.

mousaka
 
oenone schrieb:
Ich denke eher spontan an Kerberos, wenn ich dein posting lese...
Zum Vergrößern anklicken....

Kerberos ist doch nur für die Netzwerk Sicherheit..?
Damit kann man doch keine Benutzer verwalten.

Kann man eigentlich SSH und Kerberos zusammen benutzen?
Oder braucht man dann immer noch ein ssh-agent um
die schlüssel zu laden.

So wie ich das sehe braucht es:
Samba/NFS + OpenLDAP

Für die Sicherheit dann noch:
Kerberos

Greets
 
Also, ich hab OpenLDAP laufen, und auch mit Notebooks keine Probleme.

So long...

Gerrit
 
xGhost schrieb:
Kerberos ist doch nur für die Netzwerk Sicherheit..?
Damit kann man doch keine Benutzer verwalten.

Kann man eigentlich SSH und Kerberos zusammen benutzen?
Oder braucht man dann immer noch ein ssh-agent um
die schlüssel zu laden.

So wie ich das sehe braucht es:
Samba/NFS + OpenLDAP

Für die Sicherheit dann noch:
Kerberos

Greets
Zum Vergrößern anklicken....
Hallo,
zum Thema Kerberos hatte die iX eine kleine Serie aufgelegt.
Los ging es mit der 3/2007
  • Teil 1: Einführung in Kerberos
  • Teil 2: "Kerberisierung" von Netzdiensten
  • Teil 3: Netzweites Single Sign-On



marmorkuchen
 
Hallo xGhost,

mmh, da sieht es wohl unter BSD eher mau aus. Das Problem ist, daß es zwar ein Paket login_ldap gibt, das setzt aber trotzdem den vorhanden User in der passwd voraus und dient nur dem Login. Möglich wäre dies nur, wenn es eine Art PAM unter OpenBSD gäbe... Aber das haben die Entwickler explizit abgelehnt. Die einzige Möglichkeit wäre NIS.
Das Problem mit Kerberos ist, daß man eine doppelte Benutzerpflege hat, da zusätzlich zu den Posixusern auch noch die Kerberosprinzipale gepflegt werden müßten... Sicher kann man heimdal aber auch mit einem LDAP-Backend kompilieren (geht auch unter OpenBSD). Kerberos dient auch nur der Authentifizierung und nicht der Authorisierung...
Soweit ich weiß, könnte man den NIS-/YP-Server auch mit einem LDAP-Backen kompilieren. Dann könnte man die Usereinträge komplett im LDAP pflegen, hat einen NIS, der sich seine Einträge aus dem LDAP zieht ergo zum Kerberos...
Offline sollte das aber bei keinen BSD funktionieren - also eher schlecht mit Laptop.

LG Uwe
 
Hmm....

In diesem Fall werde ich mir ein Server/Client Perl Programm machen.

So was mir vorschwebt:

[Allgemein]
Authentifizierung mit pub/priv keys.
Verschlüsselte Verbindung AES Session bedingt.
Packages Verteilung abgleich/updates BSD übergreifend.
Zeit gesteuerte Aktionen.
Offline verwendbar.
Zentrale Home verzeichnise mit SMB/NFS
Zentrale Benutzerverwaltung
Loginscript artige Funktionen
Automatische einrichten der Clients nach dem Aufsetzen und Authen.

[Server]
Zertifizierung der Clients keys.
PostgreSQL backend.
Einfache konfigurationen.
Statistiken der clients.

[client]
Einmalige Anmeldung
...

Hat jemand sonst noch ne idee was ich
implementieren soll?

Gg
 
kith schrieb:
ich hatte mich vor einigen jahren mit dem thema single sign on beschaeftigt. damals war LDAP das was dem am naechsten kam.
Zum Vergrößern anklicken....

Single sign on ist wesentlich mehr als nur die zentrale Verwaltung der Nutzeraccounts, nach der der OP gefragt hat. Ganz abgesehen davon ist es in der Praxis eher ein Phantom: man trifft immer mal wieder Sales Droiden die behaupten, sie koennten sowas anbieten. In freier Wildbahn ist es allerdings noch nicht beobachtet worden. Die existierenden Kerberos+LDAP+NTLM Konglomerate (z.B. das MS'sche AD) kommen der Sache wohl noch am naechsten. Fuer kleinere Netze will man sich das aber nicht antun.
 
Ich bin vor einem halben Jahr von NIS auf LDAP umgestiegen. Auf dem Laptop liegt ein Replica der Datenbank (ist trivial einzurichten) und damit habe ich auch offline Lesezugriff auf alle Daten.

Auch Web-Logins (Cacti, privat geschuetzte Seiten) bediene ich aus dem gleichen LDAP. Moechte das nicht mehr missen.

Allein die nss_ldap-Unterstuetzung unter FreeBSD ist buggy und unvollstaendig.
 
da gibts viele Wege nach Rom die zum Ziel führen. Kümmts mehr oder weniger druf an was dabei für Prioritäten gesetzt werden. LDAP is meist für ziemlich viel möglich, Sonderlösungen gibts wie Sand am Meer. Tät ich sagen Du spezifizierst mal bärig genauer wo Deine Prioritäten liegens, dann könne mer Dir sicher bärig weiter helfen.

Gruß Bummibär
 
Von NIS wuerde ich stark abraten. Das ist veraltete Technik, LDAP ist ja gerade gemacht worden, um sowas abzuloesen.

Hat auch den Vorteil, dass du Samba, Webserver, Mailserver, etc. auch an LDAP anhaengen kannst. Mit beliebigen Domains und virtuellen Usern und Zeug. LDAP ist hier wesentlich flexibler (und komplexer, natuerlich)

http://www.openldap.org/doc/admin22/replication.html
Hier wird das Einrichten der Replication erklaert. Ich muss vielleicht dazu sagen, dass mein Master auf dem Laptop ist (Hauptarbeitsplatz) und mein Router/Server der LDAP-Slave ist.
 
so blöd es auch klingen mag. mit active directory ist eine lösung möglich.
microsoft hat unglaublicherweise nach rfc4120 kerberos implementiert (zwar mit der rc4 erweiterung die nie als rfc aufgenommen wurde) aber es ist möglich mit unix/linux maschinen die authentifzierung (pam) und die authorisierung(ldap) mit dem ad zu "erschlagen". ich bin gerade am bastel ob man windows mit der sc-ap software dazu bekommt, einen heimdal oder mit kerberosserver zu akzeptieren.

boeker
 
nachtrag:
ich hab natürlich auch mit einbezogen, dass jeder von uns noch eine windowsinstallation hat, die eigentlich gern übersehen wird *hüstel*, und das konglomerat aus win, unix und linux betrachtet, für das man eine zentrale benutzerverwaltung haben möchte.

boeker
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben