Martin Juhlin <[EMAIL PROTECTED]> writes: > torsdagen den 6 februari 2003 18.04 skrev Torbjorn Pettersson: > > Martin Juhlin <[EMAIL PROTECTED]> writes: > > > Hej > > > > > > Jag hÄller pÄ att sÀtta upp ett nÀtverk med 8 datorer. Grejen Àr den att > > > jag vill ha samma hemkatalog och lösenord pÄ alla datorerna. För > > > hemkatalogerna anvÀndar jag nfs och det ser ut att fungera bra. Men hur > > > gör man med lösenorden och anvÀndarna? Jag vill ju gÀrna bara behöva > > > lÀgga in anvÀndarna en gÄng och ifall nÄgon byter sitt lösenord skall det > > > bytas pÄ alla datorer. NÄgon som har nÄgot förslag ? > > > > > > MvH > > > Martin > > > > Kerberos + pam + "directory server", d.v.s. antingen ldap, > > hesiod eller liknande. Allt finns som debian - paket. > > Hur gör med modul till pam för kerberos? BÄde libpam-krb5 och libpam-heimdal > Àr enligt deras beskrivning endast för lokala logins !? >
Nej, de Àr inte till för login alls. De Àr till för authentiering, d.v.s. att bevisa att login;et Àr korrekt. SjÀlva login - informationen Àr vad du behöver directoryservern till. > > > Bara för att vara komplett sÄ kan man ju nÀmna nis, som Àr > > relativt enkelt att sÀtta upp och köra, speciellt jÀmfört med > > ldap, men som har en del problem med sÀkerheten. Vilket ju > > ocksÄ nfs har i.o.f.s. SÄ jag hoppas att maskinerna inte stÄr > > direkt pÄ internet? > > Jo, direkt ut pÄ internet kommer de att vara. SÄ lite sÀkerhet hade inte > skadat :) SÄ skall man anvÀnda nis bör man alltsÄ kompletera med en > brandvÀgg. Kan ju vara bra att veta. > > MvH > Martin Hmm...... Utan att veta ett dugg om hur din setup ser ut, annat Àn att det Àr 8 maskiner, skulle jag sÀga sÄ hÀr, det finns lite olika sÀtt man kan lösa det hela om man vill ha det sÀkert. 1) Flytta maskinerna sÄ lÄngt bort frÄn internet som möjligt, kör nis + nfs. 2) Förslag 1 + brandvÀgg med en mailgw + http proxy pÄ. (eller ev. en full NAT istÀllet för enbart http proxy). Inga andra maskiner Àn brandvÀggen ens i nÀrheten av internet. 3) Ett vpn mellan maskinerna, antingen baserat pÄ ipsec eller ssl, med en separat brandvÀgg pÄ varje maskin. nis resp. nfs endast öppet över vpn;et. 4) samba, sfs eller afs istÀllet för nfs. (Alla finns som debian paket). Kör kerberos + ldap eller hesiod istÀllet för nis. Ett "snik" - förslag, om det Àr fÄ personer som skall vara inloggade o.s.v, och efterssom det lÄter som om du inte har arbetat med liknande saker tidigare. Om det bara Àr du eller max 1-2 personer till inblandade, sÄ skippa nis + nfs helt och hÄllet och titta pÄ vad du kan göra med ett program som heter "unison". (finns ocksÄ som debian - paket). Det kanske rÀcker för vad du skall göra? Du kan ha det för att synkronisera hemkataloger + /etc/passwd + /etc/shadow mellan maskinerna, och om du vÀljer att köra unison över ssh sÄ fÄr du rÀtt sÄ hög sÀkerhet pÄ det hela ocksÄ. Avslutningsvis, maskiner om maskiner som stÄr pÄ internet: -) StÀng av sÄ mycket tjÀnster frÄn inetd som möjligt -) Installera tcpwrappers -) Om möjligt, kör nÄgon form av paketfiltrering Och gör absolut inget av följande: -) Kör _inte_ nis pÄ internet -) Kör _inte_ nfs pÄ internet (Problemen med nis resp. nfs Àr att den sÀkerhet som finns inbyggd i systen Àr baserad pÄ antagandet att nÀtet Àr "sÀkert", d.v.s. ej avlyssnat, ej innehÄller förfalskade ip - addresser eller kapade maskiner....) Mvh Tobbe -- ###################################################################### Torbjörn Pettersson # Email [EMAIL PROTECTED] Vattugatan 5 # Web www.strul.nu/~tobbe S-111 52 Stockholm, Sweden # ######################################################################
