Zentrale Benutzerverwaltung

[WinMaik]

Ich sehe den Wald vor lauter Bäumen nicht mehr.

Da meine Netzwerklandschaft immer größer wird, ist es an der Zeit, die Benutzerverwaltung zu zentralisieren.
Hier laufen zwei Server, drei Access Points die WPA2 Enterprise fähig sind und ein ganzer Haufen Rechner und Laptops, auf denen sich alle Benutzer anmelden können sollen.
Auf den Servern läuft unter anderem Postfix und Dovecot, die ebenfalls in Zukunft ihre Daten von der zentralen Benutzerverwaltung (die bestenfalls auf beiden Servern liegt) beziehen sollen.
Jeder Benutzer hat außerdem ein Verzeichnis auf einem Server, welches über sshfs gemountet wird. Hierzu muss er nach der Anmeldung erneut sein Passwort eingeben, damit sshfs die Verbindung zum Server herstellen kann, was nervig ist (Stichwort Single Sign-on). Wenn ein Benutzer sein Passwort ändern möchte, dann muss er das an einigen Stellen tun, was sehr unschön ist.
Außerdem möchte ich, dass die Benutzer sich mit Ihren Zugangsdaten an internen Webdiensten anmelden können (ebenfalls möglichst mittels SSO).
Wie setzt man so etwas um?
Ich lese mich schon eine ganze Weile durch massig Literatur im Netz und bin unter anderem über PAM, NIS, LDAP, Kerberos, RADIUS und SASL gestolpert, allerdings schaffe ich es nicht den Überblick zu behalten.
NIS kann mir inzwischen egal sein da veraltet und durch LDAP + Kerberos ersetzbar, korrekt?
OpenLDAP ist quasi eine baumartige Datenbank, in der ich am Ende die Benutzerdaten verwalte, korrekt?
Was ist der Unterschied zwischen Kerberos und RADIUS? Wann brauche ich welchen Dienst?
Ich weiß selbst, dass das ein wenig so klingt, als ob ich zu faul zum googlen wäre. Dem ist aber nicht so, ich weiß selbst nicht warum ich so große Schwierigkeiten damit habe.

Ich finde massig Informationsquellen, die direkt ins Detail gehen, allerdings verstehe ich noch nicht einmal warum und wie genau die ganzen OpenLDAP Tutorials funktionieren

Womit sollte ich denn anfangen? Ich vermute mal mit OpenLDAP, da alle anderen Dienste darauf basieren, oder?

An diesem Projekt werde ich wohl noch eine Weile zu knabbern haben, weshalb ich mich jetzt schon für eure Geduld mit mir bedanken will

[hec_tech]

Bin gerade selbst an so einem Projekt dran und kann nur sagen es ist nicht einfach.

OpenLDAP ist ein Verzeichnisdienst und keine Datenbank. Unter Debian würde ich dir raten OpenLDAP selbst zu kompilieren oder eben CentOS einzusetzen. Leider stoßt man mit der Debian Version immer auf Probleme wenn es dann um Verschlüsselung geht.
Damit kannst du nicht nur Benutzer und Gruppen verwalten sondern eigentlich alles wofür es ein Schema gibt oder du dir ein Schema schreibst.

Du musst dir zuerst mal überlegen wie der DIT aussehen soll. Welche Informationen sollen gspeichert werden usw.
Dann überleg dir was passiert wenn der Verzeichnisdienst ausfällt. Keine schöne Sache somit muss da Ausfallssicherheit her. Je nachdem wieviele Objekte du hast und welche Anbindung zwischen den Servern sind wirst du die Replikationsmethode wählen.
Willst du auch sudo usw im Verzeichnisdienst speichern?

Radius wirst du auf jeden Fall für WPA2 Enterprise brauchen da kommst du sicher nicht herum. Kerberos für SSO. Mit SSO hab ich mich noch nicht beschäftig bin derzeit noch nicht soweit dass alles andere einwandfrei funktioniert.

Du wirst auch eine CA brauchen um die ganzen Zertifikate auszustellen da man Daten nicht unverschlüsselt übers Netzwerk schicken sollte.

Sowohl Postfix als auch Dovecot kannst du mit LDAP verbinden. Jedoch habe ich das selbst noch nie gemacht da arbeite ich noch immer mit PostgreSQL.

Das wichtigste ist dass du wirklich das ganze Schritt für Schritt angehst und erweiterst.

Mein Vorschlag wäre:
1) Openldap setup (inkl. replikation)
2) Verschlüsselung
3) Auth von Linuxservern gegen OpenLDAP (Benutzer und Gruppen)
4) Radius
5) APs
6) Postfix und Dovecot
7) SSO
und dazwischen testen testen und nochmals testen

[WinMaik]

Bin gerade selbst an so einem Projekt dran und kann nur sagen es ist nicht einfach.

Ich habe schon an meinem Verstand gezweifelt, aber wenn es nicht nur mir so geht beruhigt mich das

Unter Debian würde ich dir raten OpenLDAP selbst zu kompilieren oder eben CentOS einzusetzen. Leider stoßt man mit der Debian Version immer auf Probleme wenn es dann um Verschlüsselung geht.

Gut zu wissen. Ist da vielleicht Besserung in Sicht?

Du musst dir zuerst mal überlegen wie der DIT aussehen soll. Welche Informationen sollen gspeichert werden usw.

Zunächst würde es mir reichen wenn der Benutzername, das Passwort sowie UID und GID gespeichert werden würden, später dann noch E-Mail Adresse, möglicherweise die Adressbücher usw.
Das kann man ja nachträglich erweitern, oder?

Dann überleg dir was passiert wenn der Verzeichnisdienst ausfällt. Keine schöne Sache somit muss da Ausfallssicherheit her. Je nachdem wieviele Objekte du hast und welche Anbindung zwischen den Servern sind wirst du die Replikationsmethode wählen.

Die Server solltem möglichst unabhängig voneinander laufen, daher wäre eine Master-Master Replikation sinnvoll, oder?

Willst du auch sudo usw im Verzeichnisdienst speichern?

Jetzt wo ich weiß, dass das möglich ist, wäre das nicht schlecht.

Radius wirst du auf jeden Fall für WPA2 Enterprise brauchen da kommst du sicher nicht herum. Kerberos für SSO. Mit SSO hab ich mich noch nicht beschäftig bin derzeit noch nicht soweit dass alles andere einwandfrei funktioniert.

Okay dann stelle ich das auch erst einmal hinten an.

Du wirst auch eine CA brauchen um die ganzen Zertifikate auszustellen da man Daten nicht unverschlüsselt übers Netzwerk schicken sollte.

Dafür werde ich wohl CAcert verwenden, die Root Zertifikate sind bereits auf allen Maschinen installiert.

Das wichtigste ist dass du wirklich das ganze Schritt für Schritt angehst und erweiterst.

Mein Vorschlag wäre:
1) Openldap setup (inkl. replikation)
2) Verschlüsselung
3) Auth von Linuxservern gegen OpenLDAP (Benutzer und Gruppen)
4) Radius
5) APs
6) Postfix und Dovecot
7) SSO
und dazwischen testen testen und nochmals testen

Das hört sich nach einem Plan an, danke

[hec_tech]

Besserung wegen den Debianpaketen wohl kaum da werden Package Maintainer gesucht. Da gibts einen eigenen Bugreport dazu.

Das was du speichern willst ist alles in den normalen Schemata drinnen also auch kein Problem. Allerdings sollte man alle Schemata gleich am Anfang laden nachträglich hinzufügen funktioniert nicht immer ganze reibungslos.

Master-Master ist ein guter Ansatz wenn du auf beiden Servern schreiben willst und eben wirkliche Ausfallssicherheit haben willst. Wobei das nur der Typ der Replication ist nicht jedoch WIE repliziert wird.

[Colttt]

ich hatte das ganze auch mal versucht plus frontend (Fusiondirectory).. doch das ganze scheiterte dann das ganze bei openldap+kerberos. es ging normales ldap, inkl dhcp+dns anbindung in LDAP/Fusiondirectory.. es gehört extrem viel dazu das alles zum laufen zu bekommen.. ich finde da hat MS einen sehr grossen vorteil/vorsprung mit den ActiveDirectory+GPOs (ist zwar teils nicht ganz zu ende gedacht, aber egal, Linux hinkt da bedeutend mehr hinterher) ..

ich hab vor kurzem im Admin-Magazin über FreeIPA gelesen, das scheint ein rundum-sorglos-paket zu sein..