Zjisteni, jaky klic pouzil uzivatel pro prihlaseni
Vilem Kebrt
vilem.kebrt at gmail.com
Wed Feb 5 09:21:31 CET 2014
Ahoj,
obavam se ze to co popisujes uz te preci jen odkazu bud: 1) do podobneho
reseni jako navrhl dan, kde budes muset resit urcite nejake systemove
navaznosti
2) do centralniho ldapu, kde pak muzes definovat co potrebujes bez nejakych
dalsich problemu, je to prehledne , da se to ruzne vrstvit, atd...
Ja napriklad pro nektere servery pouzivam toto reseni :
hlavni ldap tree -> client (subtree) kde mam People a Groups(tato vetev
oznacuje klientovy "rooty"), popr : hlavni tree -> client tree -> servers
-> People Groups, to je sice komplikovanejsi na spravu, ale zase presnejsi
z hlediska autorizaci.
Vilem
Dne 4. února 2014 22:41 Dan Lukes <dan na obluda.cz> napsal(a):
> Radek Krejča wrote:
> >> Porad mam za nejpravdepodobnejsi spravnou odpoved (i bez znalosti
> >> zadani), ze nejjednodussim resenim je mit pro kazdeho jednotliveho
> >> uzivatele samostatny ucet. To je totiz "prirozene" reseni
>
> > mam x diskless freebsd routeru, ktere se restartuji pouze v pripade
> aplikace upgradu a tudiz je pomerne narocna sprava uzivatelu
> > potrebujeme mit pro par lidi na tyto routery pristup, ale potrebuji jim
> ho cas od casu vzit a zase pridat.
>
> No, jednak je otazka, jestli omezeni "restartuji se pouze pri upgrade"
> neni zbytecne silne omezeni, ktere problem neprimerene komplikuje, pokdu
> by stacilo zmeny v uzivatelich propagovat do druheho dne, tak ze proste
> v pripade potreby v 3:30 router "otoci". Nevim jak je to u diskess
> stroju, ale u normalnich se restart da zvladnout za cca minutu - a je
> otazka, jestli to je v konkretnim pripaded nepripustne dlouhy vypadek.
>
> > myslel jsem, ze nejjednodussi bude zridit jednoho uzivatele a lidem
> pridelit kazdemu svuj vlastni klic, ktery bych pak zase smazal a bylo by to
>
> Aha, ergo, kouzlo je podle vseho v tom, ze seznam klicu je na
> zapisovatelnem volume, kdezto master.passwd neni.
>
> Otazka je, jestli neni proste nejednodussi vzit zdrojak toho PAM mofulu,
> co autentizuje vuci master.passwd, prepsat v nem cestu, soubor dat na
> zapisovatelny volume a tim mit vyreseno. Teda, netvrdim, ze se tam
> nemuze objevit nejaky zadrhel, ale mohlo by to byt relativne hladke.
>
> Dalsi moznost je vlozit tam PAM modul, pripadne nakonfigurovat nejaky
> existujici (treba i zmineny ldap) co se autentizace zhosti pred
> defaultnim unix modulem.
>
> Dalsi moznost je dvoustupnova autentizace, z hlediska systemu mit
> skutecne jednoho uzivatele, za urcite situace by mohl byt i bez hesla,
> ale jako jeho shell dat neco, co se zepta na osobni jmeno a heslo
> uzivatele. Oproti cemu bude udaj kontrolovat a kam zapise kdo se
> autentizoval je otazkou fantazie. O moznosti upravid primo program
> 'login' ani nemluve.
>
> Vsechny tyhle upravy samozrejme naji urcite bezpecnstni dopady, ktere je
> potreba zhodnotit.
>
> > Nakonec nejjednodussi tedy bude predelat konfiguraci proti centralnimu
> ldap serveru a bude to. Nebo je nejake elegantni jine reseni?
>
> Bez restartu asi ne. Ale nemam s tim osobni zkusenost, diskless routeru
> bych se bal, je to prilis zavisle na funkcnosti site a sitoveho serveru
> a nikde je nepouzivame. Z tehoz duvodu bych se bal autentizace zavisle
> na dostupnosti nelokalniho zdroje. Ale je pravda, ze kdyz uz to je na te
> siti zavisle kvuli tomu, ze to je diskless tak uz asi nevadi, ze se bez
> site ani neprihlasis ...
>
> Kazdopadne, mnoho spravcu, serverova smrt ... ;-)
>
>
> Dan
>
> --
> FreeBSD mailing list (users-l na freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l
>
--
-------------------------
S pozdravem
Vilem Kebrt
-------------------------
VikerCZ
More information about the Users-l
mailing list