Homedirs baseados em servidor e logon universal em uma rede Linux? (Além do NFS + NIS?)

1

Esta pergunta foi meio que, já perguntado , mas há um problema de segurança na configuração NFS + NIS que ainda me incomoda: se você conhece o nome de usuário / uid de alguém, você pode configurar um computador * nix, criar um usuário localmente com o mesmo nome / uid e pronto, você pode montar o servidor FS e ele lhe dará acesso aos arquivos do usuário.

Então, minha pergunta é específica: existe uma configuração alternativa que não dará acesso a arquivos do servidor, de maneira nenhuma, a menos que você tenha um nome de usuário e senha válidos, mesmo que você configure seu próprio computador e o coloque a rede?

Os usuários ainda precisam fazer logon em suas estações de trabalho e trabalhar com seus arquivos de servidor sem ter que fornecer sua senha o tempo todo. Tudo bem se ele funciona apenas em uma GUI do Linux como o Gnome.

    
por JCCyC 02.03.2010 / 21:49

4 respostas

2

Os problemas de segurança não podem ser superados usando NFSv4 e kerberos ? O Kerberos foi mencionado na resposta à sua pergunta anterior, mas você não mencionou isso em sua nova pergunta sobre preocupações com segurança.

Não vejo como um compartilhamento do nfs que requer autenticação do kerberos pode ser enganado por um simples nome de usuário / uid correspondente.

Tutorial para Ubuntu se é isso que você está usando pode ser encontrado aqui .

    
por 02.03.2010 / 22:24
2

O NIS é antigo, esqueça que existe. Você pode usar o LDAP para obter praticamente a mesma coisa de uma maneira muito mais moderna. Eu sugiro que você olhe para o Kerberos e NFSv4 para autenticação do usuário. É um pouco de infra-estrutura para configurar, mas quando você começa tudo isso não é muito difícil de manter.

    
por 03.03.2010 / 01:47
1

Não sou fã do NFS / NIS, mas o problema de segurança que você descreve é um problema de configuração, não uma falha inerente: Você pode configurar seu servidor NFS para honrar apenas solicitações de montagem de hosts conhecidos (ou se você deseja obter fantasia, restringi-lo por netgroup), então J. Random Hacker não pode simplesmente ligar e começar a montar coisas. Veja a página exports(5) para os detalhes, ou leia uma cópia do livro O'Reilly NFS + NIS para exemplos realmente bons.

(Isto não resolve nenhum dos outros problemas com NFS / NIS que são falhas inerentes, mas é a correção imediata para o seu problema imediato:).

    
por 02.03.2010 / 21:58
0

LDAP ou Samba para logons unificados. Qualquer sistema de arquivos de rede deve permitir que você complete a equação.

    
por 02.03.2010 / 23:00