Autenticação central e armazenamento / home com armazenamento em cache

Navegue suas respostas
5

Eu quero mudar minha confusão de uma rede doméstica (mistura de clientes Windows / Mac) para rodar exclusivamente no Linux. Todas as máquinas irão para o Linux.

Antes de embarcar nesta viagem (com certeza divertida), aqui está minha lista de desejos:

  1. Autenticação central (acredite que o LDAP é a melhor aposta aqui)
  2. Armazenamento do perfil central para os usuários, para que todos os arquivos sejam acessados em qualquer máquina que fizer login
  3. O LDAP ajuda com alguma forma de gerenciamento de confiança, ou seja, usuário pode executar o sudo em cada máquina, ou eu precisaria atualizar manualmente o arquivo sudoers de cada máquina?

O que as pessoas acham que é o melhor para alcançar o que foi mencionado acima, tenha em mente os seguintes "deal breakers" de que preciso:

  1. Os portáteis devem poder autenticar-se quando estiverem fora de casa (ou seja, sem acesso ao servidor LDAP / auth)
  2. As máquinas devem armazenar em cache os diretórios iniciais do usuário, como mostrado acima, para que estejam disponíveis quando não estiverem conectados à rede

Essencialmente, o que eu estou procurando é o equivalente a um domínio do Windows com perfis de roaming.

O bônus aponta para qualquer um que possa me dizer se acha que seria melhor executar o Visual Studio em uma máquina virtual ou via RemoteApp (por exemplo, o que seria mais rápido assumir hardware semelhante).

Além disso, tenho mais experiência com o Debian e o Ubuntu, mas estou aberto ao que as pessoas sugerem - qual sistema operacional de servidor eu devo usar? Os clientes serão o Ubuntu.

Agradecemos antecipadamente pela ajuda de todos.

    
por Sam 18.02.2011 / 03:32

3 respostas

3

O LDAP é apropriado para essa configuração.

Autenticação em cache

SSSD é uma alternativa ao pam-ldap e nss-ldap que armazena em cache senhas para uso off-line. Não faz nada com mapas autofs armazenados no LDAP. Se você tiver apenas um servidor de arquivos com todos os diretórios base, poderá usar um mapa curinga autofs e não se preocupar com isso.

Diretórios Domésticos em Cache

Não há realmente uma solução turnkey para isso no Linux, como existe para o OS X. A estratégia é montar o diretório inicial do nfs quando estiver na rede e usar o rsync para sincronizar periodicamente os diretórios iniciais.

TsumuFS parece uma solução promissora pronta para uso, mas não sei como é estável é.

Gerenciamento de confiança

No Ubuntu, existe um pacote sudo-ldap que permite colocar sua configuração sudo no LDAP. Nada armazena em cache isso, então você será melhor de distribuir seu arquivo sudoers com um sistema de gerenciamento de configuração.

    
por 18.02.2011 / 19:54
1

Em vez de confiar na autenticação centralizada (que geralmente também pressupõe uma conexão persistente), você pode usar algo como Puppet para replicar um conjunto de usuários, senhas, etc para cada host gerenciado. Essa abordagem poderia permitir a operação desconectada, poderia distribuir arquivos de senhas shadow, arquivos sudoers, chaves públicas SSH e quaisquer definições de montagem de rede ... ou realmente qualquer configuração / dados que você deseja compartilhar.

Pode até incorporar algo como Git como meio de sincronizar arquivos de maneira desconectada.

Minhas próprias experiências pessoais com LDAP, Kerberos, armazenamento de 'perfil' centralizado e diretórios de roaming home têm sido meticulosos, propensos a erros e demorados. Embora seja teoricamente possível realizar a maioria desses requisitos por meio desses componentes, sua prática é muito mais complexa do que seria possível administrar em uma rede doméstica. Eu concordo completamente com o @mattdm.

    
por 18.02.2011 / 05:11
0

Parece que algo como o AFS (Andrew File System) fará o que você está procurando aqui. Ele suporta a parte de cache do cliente e usa kerberos para auth.

Para a autenticação, isso representa um problema. Não estou ciente de nenhum sistema de autenticação que ofereça suporte à autenticação off-line. Você poderia trapacear e fazer algo como mirror / etc / shadow em todos os lugares.

    
por 18.02.2011 / 04:24

Tags

Servidor de nomes autoritativo BIND: SERVFAIL? Quais soluções de limitação de HTTP de saída existem?