Benutzer-Authentifikation

h^2

hat ne Keule +1
Ich restrukturiere gerade ein kleineres Netz. Neben vielen kleinen Neuerungen, wie ZFS statt UFS und neuer Hardware, möchte ich auch eine ordentliche Benutzerverwaltung machen. Das habe ich vorher nie gemacht, jetzt habe ich ein bisschen Doku gelesen und jetzt schwirrt mir direkt der Kopf.

Also was soll passieren:
- diverse User sollen intern auf einen NFS(v4)-Server zugreifen und wenn möglich nicht über IP authentifiziert[1] werden (so läufts momentan), ACLs werden aber nicht benötigt
- es gibt einige interne Dienste (DokuWiki, u.U. eine DB)
- und einige öffentliche Dienste (Mail-Server, Roundcube-Mail-frontend, ownCloud mit WebDAV, SFTP, https, u.U. OpenVPN), die mit denselben User-Accounts benutzbar sein sollen

Im Zusammenhang mit portabler Authentifikation habe ich oft von (Open)LDAP gehört, dazu im Handbuch aber direkt schonmal nichts gefunden. Stattdessen gibt es dort eine etwas komplizierte Anleitung zu Kerberos (wovon es wohl auch zwei Unterschiedliche Implementierungen gibt, in base und ports). Sind das Alternativen oder ergänzt sich das? Hab mich (offensichtlich) noch nie damit beschäftigt :o

Ist Kerberos das richtige für mich? Muss das so kompliziert sein ^^? Können die genannten Dienste dagegen authentifizieren? Eine FreeBSD-Jail selbst für SFTP müsste das ja hinkriegen. Cyrus IMAP kanns glaube ich auch. Roundcube kann ich ja dann vielleicht direkt gegen dem IMAP-Server authen lassen (das machen zumindest andere Web-Frontends…). Wie funktioniert das mit NFS? Werden user beim mounten gefragt nach einem Passwort?

Gibt es dazu allgemeinere Doku, also nicht nur ein Setup-Guide sondern auch was "grundlegenderes"?

Ich bin admin auf router, server und ein paar clients. Auf den anderen Clients bin ichs nicht… je weniger man auf clients einrichten muss desto besser :D Und einige Clients müssen auf jeden Fall auch lokal authentifizieren können, also ganz normal funktionieren, wenn das Netzwerk oder der Auth-Server nicht erreichbar sind!


Vielen Dank!
h^2



[1] IP-basierte Auth ist mir zu unsicher, da auch mal Gäste im LAN/WLAN unterwegs sind.
 
Hi h^2,

Also was soll passieren:
- diverse User sollen intern auf einen NFS(v4)-Server zugreifen und wenn möglich nicht über IP authentifiziert[1] werden (so läufts momentan), ACLs werden aber nicht benötigt
- es gibt einige interne Dienste (DokuWiki, u.U. eine DB)
- und einige öffentliche Dienste (Mail-Server, Roundcube-Mail-frontend, ownCloud mit WebDAV, SFTP, https, u.U. OpenVPN), die mit denselben User-Accounts benutzbar sein sollen

Im Zusammenhang mit portabler Authentifikation habe ich oft von (Open)LDAP gehört, dazu im Handbuch aber direkt schonmal nichts gefunden. Stattdessen gibt es dort eine etwas komplizierte Anleitung zu Kerberos (wovon es wohl auch zwei Unterschiedliche Implementierungen gibt, in base und ports). Sind das Alternativen oder ergänzt sich das? Hab mich (offensichtlich) noch nie damit beschäftigt :o
Kerberos ist sowohl Alternative als auch Ergänzung.

Ist Kerberos das richtige für mich? Muss das so kompliziert sein ^^? Können die genannten Dienste dagegen authentifizieren? Eine FreeBSD-Jail selbst für SFTP müsste das ja hinkriegen. Cyrus IMAP kanns glaube ich auch. Roundcube kann ich ja dann vielleicht direkt gegen dem IMAP-Server authen lassen (das machen zumindest andere Web-Frontends…). Wie funktioniert das mit NFS? Werden user beim mounten gefragt nach einem Passwort?
Solange alle Programme gegen PAM gelinkt sind, funktioniert das unabhängig von der Authentifizerungsmethode. Da mußt Du bei der Installation der Dienste darauf achten, dass Du vorher im Portsverzeichnis ein make config aufrufst und die passende Option auswählst.
Gibt es dazu allgemeinere Doku, also nicht nur ein Setup-Guide sondern auch was "grundlegenderes"?

Ich bin admin auf router, server und ein paar clients. Auf den anderen Clients bin ichs nicht… je weniger man auf clients einrichten muss desto besser :D Und einige Clients müssen auf jeden Fall auch lokal authentifizieren können, also ganz normal funktionieren, wenn das Netzwerk oder der Auth-Server nicht erreichbar sind!

Dazu werfe ich Dir mal diese Brocken hin:)
NSS (name service switch), PAM (pluggable authentication modul), OpenLDAP, pam_ldap (LDAP-Module für PAM), pw (Benutzer verwalten unter FreeBSD).

Ich habe dazu eine kleine Doku gebastelt, die ich Dir gerne mal zukommen lassen kann.
Ich habe als Authentifizierungs-Backend OpenLDAP genommen, da es für mein Heimnetzwerk vollkommen ausreichend ist. Single-Sign-On mit Kerberos wollte ich nicht realisieren, weil die Verwaltung der User dann zu kompliziert wird.

Ich bin noch nicht dazugekommen, diese Doku auf meiner Homepage zu veröffentlichen, aber sobald ich den aktuellen Artikel fertig habe, werde ich meine Homepage renovieren.

JueDan
 
Du solltest dir in diesem Zusammenhang auch über den Unterschied zwischen Authentifizierung und Autorisierung bewusst machen. Guter Text dazu: http://www.duke.edu/~rob/kerberos/authvauth.html

Gerne wird Kerberos zur Authentifizierung und LDAP zur Autorisierung benutzt, da beide für das jeweils andere nicht besonders gut geeignet sind. (inzwischen ist aber beides mit beiden möglich.)

Edit: ist Kerberos nicht Voraussetzung für NFSv4?
 
Nein, NFSv4 läuft auch ohne. Dann muss man aber wieder sicherstellen, dass auf allen Clients die jeweiligen Nutzer gleiche UIDs haben.
 
Back
Top