h^2
hat ne Keule +1
Ich restrukturiere gerade ein kleineres Netz. Neben vielen kleinen Neuerungen, wie ZFS statt UFS und neuer Hardware, möchte ich auch eine ordentliche Benutzerverwaltung machen. Das habe ich vorher nie gemacht, jetzt habe ich ein bisschen Doku gelesen und jetzt schwirrt mir direkt der Kopf.
Also was soll passieren:
- diverse User sollen intern auf einen NFS(v4)-Server zugreifen und wenn möglich nicht über IP authentifiziert[1] werden (so läufts momentan), ACLs werden aber nicht benötigt
- es gibt einige interne Dienste (DokuWiki, u.U. eine DB)
- und einige öffentliche Dienste (Mail-Server, Roundcube-Mail-frontend, ownCloud mit WebDAV, SFTP, https, u.U. OpenVPN), die mit denselben User-Accounts benutzbar sein sollen
Im Zusammenhang mit portabler Authentifikation habe ich oft von (Open)LDAP gehört, dazu im Handbuch aber direkt schonmal nichts gefunden. Stattdessen gibt es dort eine etwas komplizierte Anleitung zu Kerberos (wovon es wohl auch zwei Unterschiedliche Implementierungen gibt, in base und ports). Sind das Alternativen oder ergänzt sich das? Hab mich (offensichtlich) noch nie damit beschäftigt
Ist Kerberos das richtige für mich? Muss das so kompliziert sein ^^? Können die genannten Dienste dagegen authentifizieren? Eine FreeBSD-Jail selbst für SFTP müsste das ja hinkriegen. Cyrus IMAP kanns glaube ich auch. Roundcube kann ich ja dann vielleicht direkt gegen dem IMAP-Server authen lassen (das machen zumindest andere Web-Frontends…). Wie funktioniert das mit NFS? Werden user beim mounten gefragt nach einem Passwort?
Gibt es dazu allgemeinere Doku, also nicht nur ein Setup-Guide sondern auch was "grundlegenderes"?
Ich bin admin auf router, server und ein paar clients. Auf den anderen Clients bin ichs nicht… je weniger man auf clients einrichten muss desto besser
Und einige Clients müssen auf jeden Fall auch lokal authentifizieren können, also ganz normal funktionieren, wenn das Netzwerk oder der Auth-Server nicht erreichbar sind!
Vielen Dank!
h^2
[1] IP-basierte Auth ist mir zu unsicher, da auch mal Gäste im LAN/WLAN unterwegs sind.
Also was soll passieren:
- diverse User sollen intern auf einen NFS(v4)-Server zugreifen und wenn möglich nicht über IP authentifiziert[1] werden (so läufts momentan), ACLs werden aber nicht benötigt
- es gibt einige interne Dienste (DokuWiki, u.U. eine DB)
- und einige öffentliche Dienste (Mail-Server, Roundcube-Mail-frontend, ownCloud mit WebDAV, SFTP, https, u.U. OpenVPN), die mit denselben User-Accounts benutzbar sein sollen
Im Zusammenhang mit portabler Authentifikation habe ich oft von (Open)LDAP gehört, dazu im Handbuch aber direkt schonmal nichts gefunden. Stattdessen gibt es dort eine etwas komplizierte Anleitung zu Kerberos (wovon es wohl auch zwei Unterschiedliche Implementierungen gibt, in base und ports). Sind das Alternativen oder ergänzt sich das? Hab mich (offensichtlich) noch nie damit beschäftigt

Ist Kerberos das richtige für mich? Muss das so kompliziert sein ^^? Können die genannten Dienste dagegen authentifizieren? Eine FreeBSD-Jail selbst für SFTP müsste das ja hinkriegen. Cyrus IMAP kanns glaube ich auch. Roundcube kann ich ja dann vielleicht direkt gegen dem IMAP-Server authen lassen (das machen zumindest andere Web-Frontends…). Wie funktioniert das mit NFS? Werden user beim mounten gefragt nach einem Passwort?
Gibt es dazu allgemeinere Doku, also nicht nur ein Setup-Guide sondern auch was "grundlegenderes"?
Ich bin admin auf router, server und ein paar clients. Auf den anderen Clients bin ichs nicht… je weniger man auf clients einrichten muss desto besser
Und einige Clients müssen auf jeden Fall auch lokal authentifizieren können, also ganz normal funktionieren, wenn das Netzwerk oder der Auth-Server nicht erreichbar sind!Vielen Dank!
h^2
[1] IP-basierte Auth ist mir zu unsicher, da auch mal Gäste im LAN/WLAN unterwegs sind.
