- RU.LINUX (2:5077/15.22) ------------------------------------------ RU.LINUX -
From : Sergey Lentsov 2:4615/71.10 27 Mar 00 15:59:24
Subj : единая авторизация через kerberos
-------------------------------------------------------------------------------
Hi DMITRY!
On Fri, 24 Mar 00 10:51:31 +0200, DMITRY DERENOK wrote:
DD> Какие ваpианты All может пpедложить? пока из ваpиантов - kerberos.
У меня именно kerberos IV + несколько самописных скриптов для добавления
пользователей. Единая база пользователей для меня была нужна только затем,
чтоб на всех машинах у юзеров и групп были одни и те же uid-ы - чтоб с nfs
проблем не иметь.
Идея у меня такая: есть master server с базой пользователей, uid-ы котодых
начинаются от, ну скажем 10000 - это так называемые domain users, все у кого
uid меньше - локальные на этом сервере. Так же организованы и группы.
При создании юзера на slave server-е, лезем по ssh на master и узнаём там
uid и gecos создаваемого юзера, если его там нет - ну значит юзер будет
локальным на этом slave server-е, если юзер есть на мастере - создаём его с
таким uid и gecos на slave.
Так же, при старте, slave сервер берет с master кусок /etc/group с
gid > 10000 и дописывает к своему /etc/group предварительно выкинув из своего
все группы с gid > 10000. Короче обновляются domain groups ;) Обновление можно
затолкать в cron или заставить master при создании на нём domain group чтоб
он пинал всех своих slaves.
Hа мой взгляд такая схема имеет одно важное достоинство: она работоспособна
даже если сдохнет мастер сервер - пароли важных пользователей можно еще
дополнительно держать в /etc/passwd и написать в pam-е примерно так:
auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_nologin.so
auth sufficient /lib/security/pam_krb4.so
auth required /lib/security/pam_unix_auth.so use_first_pass
Hу и еще два маленьких преимущества такой схемы:
1. Если пользоваться nis или ldap, то пользователь может заходить на все
машины в nis domain, мне это не очень нравится, хочу чтоб на мою машину
заходили только те кому я разрешил. И заморачиваться с pam_listfile не
очень хочется. ;)
2. Hе создаётся дополнительный траффик в сетке ;)