NIS, LDAP или Postgres
Olek 1 ноября, 2007 - 23:16
Проблемма такая.
Есть 11 серверов. И мы решились на то, чтоб поставить на них сетевую аутентификацию.
Вобщем нужны мнения и советы на тему что выбрать.
В чем проще всего обезопаситься перед падением этого самого NIS'a или LDAP'a. И есть ли возможность сделать так, чтобы определенные усеры могли логиться только на один сервер.
Знаю, что самым разумным было бы не делать сетевой аутентификации, но сами понимаете, если надо поменять пароль или добавить усера, то тогда охота повеситься.
»
- Для комментирования войдите или зарегистрируйтесь
Ежели
Ежели вендового домена нет - OpenLdap имхо. Модно.
>>Знаю, что самым разумным было бы не делать сетевой аутентификации, но сами понимаете, если надо поменять пароль или добавить усера, то тогда охота повеситься.
Тут не вешаццо надо а скрипеть. Юниксовый способ хранения пассвордов прост до безобразия. Хранится в трех файлах. Текстовых. Тузлов для обработки текстов полно. Вариантов синхронизации 11 серверов можно придумать выше крыши. Пишется на коленке за 2 дня. В одной конторе видел скрипт по ссх раздающий /etc/hosts. Чтобы нормальный DNS не ставить я так полагаю. Велосипед, конечно же, и зачем оно - непонятно. Но работало как часики лет эдак пять.
NIS или LDAP.
NIS или LDAP. Второй предпочтительней. И даже не LDAP, а LDAPS. Только вот решение задачи разрешения/запрета захода на конкретные узлы - для меня туман. Может быть на основе posix-групп...
Бэкапится все это вполне законными методами :) - разворачиванием зеркал основного LDAP с одновременной репликацией (демоны slurp). Клиенты могут ведь опрашивать несколько серверов.
А вот с синхронизацией паролей по ssh - это вряд ли. Дело в том, что по крайней мере рутовая учетная запись должна быть одинаковой. Попробуешь ее синхронизировать - последствия будут непредсказуемые. Можно конечно использовать открытые ключи, но все равно метод - не очень...
_______________________
From Siberia with Love!
>NIS или LDAP.
>NIS или LDAP. Второй предпочтительней.
Собсна why?
>И даже не LDAP, а LDAPS
Это помоему само собой разумеется.
>Бэкапится все это вполне законными методами :) - разворачиванием зеркал основного LDAP с одновременной репликацией
А вот об этом не подумали, а идея очень банальная, простая и офигенная ... Пасиба.
>А вот с синхронизацией паролей по ssh - это вряд ли. Дело в том, что по крайней мере рутовая учетная запись должна быть одинаковой. Попробуешь >ее синхронизировать - последствия будут непредсказуемые. Можно конечно использовать открытые ключи, но все равно метод - не очень...
Учетных записей с нулевым уидом у нас несколько (у каждого своя), но не думаю, что возникли бы проблеммы. потому как файлы бы просто раскидывались по всем серверам одинаковые. А за правами к файлам просто бы проследили, нодо только чтоб уиды уже существующих усеров не менялись. Но тут проблемма, например на одном сервере апач, а на другом база. И усер postgres на хосте с апачем нафиг не нужен. Но так как и говорю в такое играться нам не охота и не это являлось нашей целью, потому что именно для этого и был написан этот пост, чтоб от этого уйти.
>Ежели
>Ежели вендового домена нет - OpenLdap имхо. Модно.
Виндового домена нет и не будет, пока я жив :-)
Про раскидывание файлов по ссх тоже думали, но решили, что это не совсем модно :-)