Hallo, Manuel Jenné <jenne@deltaprojekt.de> writes:
ich möchte eine zentrale Benutzerverwaltung für meine Linux systeme haben. [...] Kerberos 5 ist dein Freund. Und wenn du es ganz komfortabel haben möchtest, OpenLDAP-2.1.x, cyrus-sasl-2.1.x, krb5-1.2.5. Diese Kombination nutze ich hier. Die ftp, login_krb5, telnet und klogin Clients von Kerberos sind da für dich sicher besonders interessant. [...] Damit ich das richtig versteh. Ich haben einen Server (eventuell noch einen secondary) auf dem der Kerberos 5 Server mit allen user infos läuft. Auf den anderen Rechnern wird dementsprechend ein client installiert und es fallen die /etc/passwd und /etc/shadow weg. Für die daemons wie apache, proftpd und vpopmail gibt es dann plugins damit die sich auch die userinfos vom Kerberos ziehen. Auf dem Server lege ich dann z.B. einen user "foo@abuse.net" an und gebe dem ein bestimmtes flag damit er sich nur über pop3 einloggen darf. Dann einen user "www.foo.net" der sich nur über ftp einloggen darf etc.
Nicht ganz. Du hast einen KDC (Key Distribution Center), das ist Kerberos, dazu vielleicht noch ein, zwei Slaves. KDC verwaltet alle Pricipals, also User mit Loginname und Passwort, Alles Hosts und alle Dienste, wie FTP, LDAP, Apache etc. Dazu ja/nein Zugriffsrechte auf diese Dienste. Auf einem Ldap-Server kannst du weitere Daten, auch Benutzerdaten, ablegen, GECOS, Shell, Homeverzeichnis, Telefonnummer usw. aber auch, wenn du möchtest, Maschinendaten, Netzwerkdaten, Maildaten granulierte Zugriffsrechte,was immer erforderlich ist. Kerberos gibt keine Passwörter weiter, sondern stellt den Diensten zugenannte Granting Tickets zur Verfügung, die mit dem Schlüssel des Users gezeichnet sind. Kerberos und Dienste kommunizieren entweder direkt miteinander, wenn sie "kerborized" sind, oder aber über SASL. Wobei ich SASL bevorzuge, da hier die Kommunikation verschlüsselt abläuft. Mit dem Kerberos Schlüssel können die Dienste sich nun weitere Informationen vom LDAP Server holen, sofern notwendig, Mailinformationen, Routingansweisungen, falls erforderlich. Von alle dem merkst du als Anwender nichts, du startest nur den Dienst. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour