Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Autenticazione utente centrallizata
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian)
View previous topic :: View next topic  
Author Message
medknight
n00b
n00b


Joined: 10 Mar 2007
Posts: 20

PostPosted: Tue Jan 31, 2012 1:26 pm    Post subject: Autenticazione utente centrallizata Reply with quote

Ciao a tutti,
ho bisogno di un consiglio da chi è più esperto di me...ho alcuni pc con gentoo e gli account sono ovviamente duplicati su tutte le macchine con conseguenti casini per le password; vorrei utilizzare uno di questi pc, quello che già attualmente mi fa da DNS, DHCP e CUPS server come server per l'autenticazione. A tal proposito mi sono documentato su openLDAP ma mi è sembrato veramente difficile da configurare. Conoscete altre possibilità?

Aggiungo che uno dei pc è un portatile che uso sia in rete locale sia in altre reti, ad esempio dai clienti, quindi mi serve poter decidere se l'autenticazione è quella tradizionale via pam o LDAP (o alternativa che suggerite).

Sono sicuro che esistano già sistemi che fanno questo, non penso di aver richieste fuori dal normale...
_________________
Tacta taesticula fugant omnia pericula
Back to top
View user's profile Send private message
koma
Advocate
Advocate


Joined: 06 Jun 2003
Posts: 2702
Location: Italy

PostPosted: Tue Jan 31, 2012 4:24 pm    Post subject: Reply with quote

Radius è più semplice ma non so verso che documentazione indirizzarti. io i server Radius li ho fatti su windows.
_________________
Remember! Gnu is not Unix!
http://www.youtube.com/watch?v=_yoJI-Tl94g GLORY GLORY HYPNOTOAD
Linux Counter[code:1]
User n° #466586
ID 375005 EkatombeII
ID 375006 Apocalypto
ID 375007 KHP[/code:1]
Back to top
View user's profile Send private message
djinnZ
Advocate
Advocate


Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.

PostPosted: Thu Feb 02, 2012 11:20 am    Post subject: Reply with quote

Per quel che so ci sono due strade: OpenLdap "puro" che è complicato (non troppo) ma se ti ci applichi ti consente anche di avere dei "profili utente" multipiattaforma (accedi con linux, mac-os, bsd o quell'altro e ti ritrovi mail, documenti, password memorizzate e preferiti su mozilla/crome sempre identici) o radius.

Mai applicato seriamente alla questione. Per quel poco che devo gestire (una manciata di pc e due utenti, root e user) faccio prima a copiare /etc/shadow.

L'autenticazione remota è l'ultimo dei miei pensieri. Al massimo mi farebbe comodo una soluzione per sincronizzare le password del windozz con shadow sul pc dual boot.

koma wrote:
windows.
sempre il solito... :lol: felice di ritrovarti, chi non muore si rivede... :mrgreen:

comumque per radius su linux devi sempre passare per samba ed openldap alla fine, se vuoi fare qualcosa di valido.

Una via alternativa, molto semplice, che sicuramente farà inorridire (non è colpa mia, è koma che mi porta sulla cattiva strada), è quella antica:
NIS+NFS
In pratica il server nis non fa altro che copiare alcuni file sui client tra questi passwd group e shadow.

Le implicazioni in termini di (in)sicurezza sono quelle che sono.

Anche se circolano in rete informazioni esagerate da parte dei soliti noti (un esempio abbastanza neutrale nonostante la provenienza) per vendere la loro paccottiglia i problemi ci sono ed è folle penare di usarlo senza ipsec IMHO.

Questo è quello che posso dirti.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt:wink:
mala tempora currunt...mater stultorum semper pregna est :evil:
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist :wink:
Back to top
View user's profile Send private message
medknight
n00b
n00b


Joined: 10 Mar 2007
Posts: 20

PostPosted: Mon Feb 06, 2012 9:09 am    Post subject: Reply with quote

Intanto grazie a tutti delle risposte chiarificatrici.

Per quello che mi sono messo in testa di fare l'unica strada possibile, confermato anche dalle parole di djinnZ, è OpenLDAP, proprio perché vorrei creare un'autenticazione multi piattaforma e una rubrica condivisa.

A tal proposito ho già iniziato a migrare tutti i dati di una macchina su ldap, non senza dolore, ma ora mi sono bloccato su pam, ma la richiesta di aiuto forse è meglio scriverla in un thread apposta.
_________________
Tacta taesticula fugant omnia pericula
Back to top
View user's profile Send private message
koma
Advocate
Advocate


Joined: 06 Jun 2003
Posts: 2702
Location: Italy

PostPosted: Tue Feb 07, 2012 9:30 am    Post subject: Reply with quote

djinnZ wrote:

koma wrote:
windows.
sempre il solito... :lol: felice di ritrovarti, chi non muore si rivede... :mrgreen:

Io vi scruto dall'ombra :D
Purtroppo Quando si va a gestire 5000 o 6000 utenti farlo con openldap diventa troppo difficile non trovi le eccezioni. Mi piange il cuore a dirlo ma Active directory per queste cose funziona in maniera perfetta e il servizio radius di windows (NB deve essere versione datacenter se vuoi gestire le classi di ip CLIENT) è facilissimo da ocnfigurare e permette tutte le ccezioni possibili e immaginabili.
_________________
Remember! Gnu is not Unix!
http://www.youtube.com/watch?v=_yoJI-Tl94g GLORY GLORY HYPNOTOAD
Linux Counter[code:1]
User n° #466586
ID 375005 EkatombeII
ID 375006 Apocalypto
ID 375007 KHP[/code:1]
Back to top
View user's profile Send private message
medknight
n00b
n00b


Joined: 10 Mar 2007
Posts: 20

PostPosted: Tue Feb 07, 2012 10:02 am    Post subject: Reply with quote

Visto che ci siamo allora ampliamo un pochino il panorama...dopo aver letto le vostre opinioni, mi sono chiesto se non fosse il caso di andare verso un sistema sicuramente più complesso, ma forse più facile da mantenere e mi sono imbattuto in tre diversi prodotti che potrebbero fare al caso mio, anche se forse sono fin esagerasti per le mie necessità:

  • apacheDS
  • 389 Directory Server, aka Fedora Directory Server
  • OpenDS

Ognuno di questi ha un motivo per essere scelto, in particolare 389 Directory Server è già in portage, anche se ~, ma girando un pò in rete non ho trovato molto, li conoscete?

Ora sto approntando una virtual machine con gentoo per installarli tutti e tre e tentare di capire un pò meglio.
Ogni consiglio/link che potete darmi è, ovviamente, il ben accetto
_________________
Tacta taesticula fugant omnia pericula
Back to top
View user's profile Send private message
djinnZ
Advocate
Advocate


Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.

PostPosted: Wed Feb 08, 2012 1:49 pm    Post subject: Reply with quote

koma wrote:
gestire 5000 o 6000 utenti
Hai centrato il punto.
Non si usa il caterpillar dove basta una pala e non si prova a fare con la pala un lavoro da caterpillar (morirai di stenti prima di finire).
Ma non è questione di numeri quanto di chi e come deve metterci mano e di qual è la struttura aziendale e le gestioni dati su cui vai ad intervenire (qui però mi autocensuro perché il discorso sarebbe troppo lungo ed andrei a commettere diversi reati dicendo quel che penso della "privacy" ed annessi).

Se devi lasciare ad un "amministratore medio" (leggi c*****ne) la gestione di un quadro abbastanza dinamico ti conviene la soluzione proprietaria (con tutte le limitazioni che pone) ed il solito gingillarsi con mouse ed icone, se hai dei gruppi omogenei e tutto sommato "statici" su cui devi gestire abilitazione e disabilitazione ti conviene dannarti un poco e crearti qualche script a hoc.

Per piccole esigenze ... beh basta fare i conti.

Considerando che i pc e gli account si sono ridotti a me stesso, me medesimo e la mia persona e mi muovo molto più che in passato trovo più utile tenere la rubrica su gmail (anche se non ho ancora trovato un modo valido per stamparla e gestire efficacemente la sincronia con lo stramaledetto android) e l'autenticazione remota è solo una complicazione aggiuntiva.
Dato che le mie esigenze al massimo si riportano a sincronizzare le password tra i due os di un singolo pc mi riprometto sempre di applicarmi a questo ed ho scartato openldap & C.

Inutile sottolineare che ci sono tante vie di mezzo possibili finché si resta in ambito open source.

medknight wrote:
aka Fedora Directory Server
qualsiasi cosa abbia a che fare con il cappello cerco di evitarla.
Non ci posso far nulla ma (a parte il fatto che mi viene da pensare a codesta fetenzia) dopo aver visto htaccess e shadow leggibili e scrivibili a tutti, cavolate assortite ed essermi confrontato con centos mi rendo conto che è solo un modo di adattare linux ai modi del solito semitruffatore installatore windozziano da operatta.
Lo so che sono prevenuto ma è più forte di me, vedo rosso.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt:wink:
mala tempora currunt...mater stultorum semper pregna est :evil:
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist :wink:
Back to top
View user's profile Send private message
devilheart
l33t
l33t


Joined: 17 Mar 2005
Posts: 832
Location: Villach, Austria

PostPosted: Wed Feb 08, 2012 3:59 pm    Post subject: Reply with quote

Una volta non c'era una serie di script per semplificare la gestione di openldap? smbldap-tools?
Back to top
View user's profile Send private message
medknight
n00b
n00b


Joined: 10 Mar 2007
Posts: 20

PostPosted: Wed Feb 08, 2012 4:48 pm    Post subject: Reply with quote

Esistono ancora, ma partono dal presupposto che ldap sia installato, configurato e funzionante, ovvero proprio la parte difficile di tutta l'opera
_________________
Tacta taesticula fugant omnia pericula
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian) All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum