Authentifizierungsserver

mincer

Well-Known Member
Hy Leute

Ich bin gerade dabei meinen Server neu aufzusetzen und zu konfigurieren. (OS freeBSD 6.1)

Nun suche ich einen Authentifizierungsserver mit dem ich auch Benutzer aus einer Jail oder einem Web-Tool aber auch aus dem LAN (Client) authentifizieren kann.

Also ein zentraler Authentifizierungsserver für diverse Dienste.

Was könnt Ihr mir da empfehlen?

OpenLDAP, Kerberos, PAM ? Oder gibt es was bessers ?

Danke für eure Vorschläge

mInCEr
 
hey marzl

ich hab auch schon mit openldap herumgebastelt. Aber es macht mir einfach nicht so einen guten Eindruck !
Ist LDAP nicht usprünglich ein reiner Verzeichnisdienst?

Wie sieht es mit Kereberos aus? Hat das jemand von euch auf fBSD am laufen?

@teK
ja du hast recht. PAM ist soweit ich weiss eine Schnittstelle zwischen verschiedenen Authentifizierungsmethoden.
 
Mit PAM kannst du dich sogar gegen deinen Toaster auth'en, wenn du ein entsprechendes Modul dafuer hast. :roll:
 
Hallo mincer,

LDAP legt die Daten in einer Struktur an, die aufgebaut ist wie ein Verzeichnis, also baumartig. Damit haben bestimmte Zugriffsoperationen Geschwindigkeitsvorteile.
Aber LDAP ist schon ganz gut geeignet, um eine netzglobale Authentifizierung vorzunehmen und es ist jederzeit erweiterbar z.B. Samba.

Ansonsten gäbe es noch die Alternative NIS. Es ist relativ einfach zu konfigurieren, aber funktioniert nicht in Jails!

Viele Grüße

Jürgen
 
mincer schrieb:
Was könnt Ihr mir da empfehlen?
Ich hab seit einiger Zeit hier ein wirklich riesiges Setup mit OpenLDAP lokal am laufen.
  • Benutzerverwaltung
  • Faxzustellung per Hylafax
  • Exim
  • Die Drucker unter cups
  • Samba
  • usw...

Das Ding tut einwandfrei. Ich hatte noch nie damit Probleme (Linux/FreeBSD/Mac). Wenn du auf OpenBSD zurueckgreifen willst, dann wuerde ich von OpenLDAP abraten. Dort ist das Ganze eine ziemliche Pfuscherei.

Der Vorteil von OpenLDAP ist, dass du nicht nur deine Benutzer dort verwalten kannst. Auch Hardware, Zugriffsrechte, Mountpoints... hast du so zentral im Griff.

Wenn du dich fuer LDAP entscheiden solltest, dann findest du hier einen guten Start: http://www.mitlinx.de/ldap/ ;)


mfg
sebbo
 
mincer schrieb:
ich hab auch schon mit openldap herumgebastelt. Aber es macht mir einfach nicht so einen guten Eindruck !
Warum? Gut, wenn man das erste Mal damit zu tun hat, muß man einiges an Einarbeitungszeit einplanen. Aber wenn es mal läuft, dann läuft es gut und zuverlässig. Außerdem kann man damit im Prinzip alles Mögliche und Unmögliche abspeichern.

mincer schrieb:
Ist LDAP nicht usprünglich ein reiner Verzeichnisdienst?
Das ist auch heute noch ein reiner Verzeichnisdienst, genau wie etwa NIS auch.

mincer schrieb:
Wie sieht es mit Kereberos aus?
Achtung: Bei Kerberos muß der KDC aus Sicherheitsgründen unbedingt auf einer eigenen Maschine laufen! Paßt so eine zusätzliche Kiste überhaupt in dein Konzept? Allgemein wäre Kerberos nicht unbedingt meine erste Wahl.

teK schrieb:
Mit PAM kannst du dich sogar gegen deinen Toaster auth'en, wenn du ein entsprechendes Modul dafuer hast.
Ja. Dazu muß man sich aber drei Fragen stellen: Kann die Anwendung gegen PAM gelinkt werden? Ist PAM überhaupt auf dem Client-Betriebssystem verfügbar? Gibt es auf dem Client-System schließlich auch das passende PAM-Modul? Der OP schreibt leider nicht, welche Betriebssysteme auf den LAN-Clients eingesetzt werden bzw. wie dieses "Web-Tool" heißt.

Für ein kleineres Setup würde ich eventuell NIS (ohne Paßwörter!) + pam_ssh empfehlen. Gibt ein nettes Single Sign On und kann auch nichtinteraktiv authentifizieren (falls das benötigt wird). Aber wirklich erstmal prüfen, ob überhaupt PAM und das pam_ssh-Modul auf allen Clients verfügbar ist (FreeBSD und Linux machen keine Probleme, Solaris sollte auch gehen).
 
Danke für die vielen Antworten.
Ich denke ich werde mich für LDAP entscheiden. Bin gerade dabei die Grundlagen zu studieren.

Was haltet ihr denn von RADIUS? Oder ist das nur was für den WLAN-Bereich?

mInCEr
 
Zurück
Oben