Gerenciamento centralizado de senhas para vários aplicativos de servidor

2

Estou tentando encontrar a maneira mais fácil / melhor de gerenciar um punhado de usuários (quatro, agora) e autorização para vários aplicativos no meu servidor Fedora agora. Eu gostaria que houvesse uma senha por usuário para todos esses sistemas, e a autorização não precisa ser muito detalhada.

Os sistemas com os quais estou trabalhando e alguns exemplos de como gostaria de usar a autenticação são:

  • SSH
  • Apache (limite certos diretórios para usuários autenticados)
  • Subversion (permitir r / w para usuários autenticados, nada para todos os outros)
  • Trac (requer usuário autenticado para qualquer tipo de acesso)

O LDAP (com o qual eu nunca trabalhei) seria a melhor escolha para isso?

    
por brianz 04.08.2009 / 19:59

5 respostas

4

LDAP

O SSH é uma boa opção, mas se você quiser implementar mais serviços que dependam de autenticação centralizada, sugiro que você olhe para algum tipo de implementação LDAP, como o OpenLDAP. É muito popular e pode ser integrado em todos os serviços que você mencionou acima. Além disso, é fácil adicionar novos usuários e disponibilizá-los em qualquer lugar que você precisar, contanto que o que você precise integrar tenha um plugin LDAP. Adicione segurança SSL / TLS (possível, não obrigatório) e está tudo pronto.

O LDAP é definitivamente o caminho a percorrer. Curva de aprendizagem íngreme, como eu acabei de experimentar, mas depois que você passa por isso, funciona maravilhosamente.

    
por 04.08.2009 / 21:46
1

O LDAP deve funcionar para todos eles, ou PAM e, portanto, LDAP, mas você também pode pensar sobre o RADIUS. A principal diferença é que o Radius fará proxy para um servidor de terceiros para que você possa adicionar a autenticação de dois fatores no caminho. Além disso, o raio é muito mais simples. Você pode até ter as auths do SSH no linux para o AD usando o plugin MS Radius. O RH pode gerenciar os usuários. Mesmo para freeradius / openldap, claro. (não que soe como um requisito.)

Aqui está um tutorial sobre como usar o apache & mod radius: link

Aqui está um que usa o apache * ldap para um scanner automatizado, mas você entende: para adicionar-dois-fator-autenticação-para-o-segredo-vulnerabilidade-scanner "> link

Veja como usar o ssh & pam-radius: link . Apenas ignore os bits de autenticação de dois fatores.

Essencialmente, qualquer outro serviço como o SVN, você quer usar o PAM e ter o pam lidando com a autenticação via ldap, radius ou contas locais.

HTH

    
por 05.02.2013 / 19:52
1

O LDAP é definitivamente o caminho a percorrer.

O Apache e o SVN são provavelmente o melhor lugar para começar. Dê uma olhada neste guia .

Uma vez que você esteja trabalhando, não deve ser difícil: link

O SSH é um pouco mais complicado (e mais catastrófico se você configurá-lo incorretamente). Você precisa configurar um Pluggable Authentication Module (PAM) em seu sistema operacional e depois apontar a configuração SSH para ele. Este guia mostra como: link .

    
por 04.08.2009 / 23:56
0

Dê uma olhada em IPA gratuito para um bom conjunto de wrappers / UI em torno das tarefas de nível mais baixo do gerenciamento de usuários.

    
por 05.02.2013 / 23:28
-1

Por que você simplesmente não usa o SSH?

Apache, Subversion e trac podem viver em uma pequena rede privada que só pode ser alcançada pelo ssh em um servidor na frente que faz a autenticação. A partir daí, os usuários poderiam abrir as portagens para os outros três serviços.

    
por 04.08.2009 / 20:31