Zjisteni, jaky klic pouzil uzivatel pro prihlaseni
Dan Lukes
dan at obluda.cz
Tue Feb 4 22:41:21 CET 2014
Radek Krejča wrote:
>> Porad mam za nejpravdepodobnejsi spravnou odpoved (i bez znalosti
>> zadani), ze nejjednodussim resenim je mit pro kazdeho jednotliveho
>> uzivatele samostatny ucet. To je totiz "prirozene" reseni
> mam x diskless freebsd routeru, ktere se restartuji pouze v pripade aplikace upgradu a tudiz je pomerne narocna sprava uzivatelu
> potrebujeme mit pro par lidi na tyto routery pristup, ale potrebuji jim ho cas od casu vzit a zase pridat.
No, jednak je otazka, jestli omezeni "restartuji se pouze pri upgrade"
neni zbytecne silne omezeni, ktere problem neprimerene komplikuje, pokdu
by stacilo zmeny v uzivatelich propagovat do druheho dne, tak ze proste
v pripade potreby v 3:30 router "otoci". Nevim jak je to u diskess
stroju, ale u normalnich se restart da zvladnout za cca minutu - a je
otazka, jestli to je v konkretnim pripaded nepripustne dlouhy vypadek.
> myslel jsem, ze nejjednodussi bude zridit jednoho uzivatele a lidem pridelit kazdemu svuj vlastni klic, ktery bych pak zase smazal a bylo by to
Aha, ergo, kouzlo je podle vseho v tom, ze seznam klicu je na
zapisovatelnem volume, kdezto master.passwd neni.
Otazka je, jestli neni proste nejednodussi vzit zdrojak toho PAM mofulu,
co autentizuje vuci master.passwd, prepsat v nem cestu, soubor dat na
zapisovatelny volume a tim mit vyreseno. Teda, netvrdim, ze se tam
nemuze objevit nejaky zadrhel, ale mohlo by to byt relativne hladke.
Dalsi moznost je vlozit tam PAM modul, pripadne nakonfigurovat nejaky
existujici (treba i zmineny ldap) co se autentizace zhosti pred
defaultnim unix modulem.
Dalsi moznost je dvoustupnova autentizace, z hlediska systemu mit
skutecne jednoho uzivatele, za urcite situace by mohl byt i bez hesla,
ale jako jeho shell dat neco, co se zepta na osobni jmeno a heslo
uzivatele. Oproti cemu bude udaj kontrolovat a kam zapise kdo se
autentizoval je otazkou fantazie. O moznosti upravid primo program
'login' ani nemluve.
Vsechny tyhle upravy samozrejme naji urcite bezpecnstni dopady, ktere je
potreba zhodnotit.
> Nakonec nejjednodussi tedy bude predelat konfiguraci proti centralnimu ldap serveru a bude to. Nebo je nejake elegantni jine reseni?
Bez restartu asi ne. Ale nemam s tim osobni zkusenost, diskless routeru
bych se bal, je to prilis zavisle na funkcnosti site a sitoveho serveru
a nikde je nepouzivame. Z tehoz duvodu bych se bal autentizace zavisle
na dostupnosti nelokalniho zdroje. Ale je pravda, ze kdyz uz to je na te
siti zavisle kvuli tomu, ze to je diskless tak uz asi nevadi, ze se bez
site ani neprihlasis ...
Kazdopadne, mnoho spravcu, serverova smrt ... ;-)
Dan
More information about the Users-l
mailing list