Konfiguration für Studentenwohnheim

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
jans
Beiträge: 2
Registriert: 09.07.2005 20:45:48
Kontaktdaten:

Konfiguration für Studentenwohnheim

Beitrag von jans » 09.07.2005 21:08:56

Hallo,

es ist so weit, denn uns wurde viel viel Geld für neue Hardware zur Verfügung gestellt und wir verfügen jetzt über ein homogenes Gigabit Layer 3 Netzwerk mit rund 180 teilnehmenden Personen und 230 Rechnern.
Neben der Netzinfrastruktur gabs auch einen neuen Server, welchen ich gerade einrichten möchte. Der Server läuft soweit - routet also vernünftig und begrenzt entsprechend die Bandbreiten der Nutzer, (de)aktiviert bei Bedarf Ports an den Switches und so weiter und so fort... Die eMails werden noch über die alte NetBSD Kiste versendet und empfangen, weil ich mit der Umstellung noch nicht weit genug bin, denn ich überlege mir gerade die Struktur des Usersystems und bin mir vollkommen unsicher.

Folgendes habe ich mir überlegt:

1.) Die Authentifizierung "der Benutzer" soll bei allen Diensten über LDAP erfolgen. LDAP scheint mir für diese Aufgabe wie gemacht, da alle nötigen Dienste über LDAP-Support verfügen. Mit "der Benutzer" sind alle Accounts außer die der beiden Administratoren (und root natürlich) gemeint, damit sich diese auch bei LDAP ausfall anmelden können. Da root sich nicht direkt anmelden kann erschien mir diese Sicherheitsmaßnahme sinnvoll.

2.) User-Quota. Jeder Benutzer soll über ein Quota verfügen, welches auch die Postfix Mailbox einschließen soll. Das Quota liegt bei zwei Gigabyte pro User - mehr als ausreichend wie ich denke.

3.) SFTP und FTPS. Seit langem liegen mir Linux User in den Ohren, dass sie neben FTPS auch SFTP haben wollen (aus Bequemlichkeit wie ich denke, um scp nutzen zu können). Ich muss das ganze ohne Shell-Zugriff hinbekommen - nicht das nachher jeder Benutzer Prozesse auf dem Server starten kann.

4.) FTP, FTPS, SFTP und Samba root des Nutzers sollen auf das Homeverzeichnis des Nutzers zeigen und ihn dort einsperren. Direkt im Homeverzeichnis soll der Nutzer nichts verändern können, sondern nur in der Unterverzeichnissen "files" und "htdocs". Die Unterverzeichnisse "mails", "calls" und "logs" darf der Nutzer nur lesen.

So, und nun zu den Fragen:
  1. Zuerst: Sind die verfolgten Ansätze soweit korrekt? Sollten diese ergänzt oder verändert werden? Wenn, dann lieber jetzt als in einem halben Jahr bei laufendem System.
  2. Ich habe gerade Openldap aufgesetzt. Wie erreiche ich, dass die Kennwörter der lokalen Benutzer vom LDAP Server abgeglichen werden? Ich habe das gerade mal mit pam_ldap getestet, was aber leider gründlich gescheitert ist.
  3. Wie erreiche ich, dass SFTP benutzt werden kann, OHNE den Nutzern Shell Zugriff zu geben.
  4. Wie bringe ich Postfix dazu, dass er die Mailbox mit den Rechten des Nutzers schreibt, so dass das Quota auch vernünftig mitzählt.
Achja: Das alle Benutzerdaten ausschließlich im Home liegen sollen (und nicht auch noch in /var/mail & Co) liegt daran, dass ich hoffe einfacher die Daten BESTIMMTER Nutzer auf Band sichern zu können. Wäre zwar sonst auch möglich, aber es ist eben übersichtlicher.

Besten Dank für eure Antworten,
Jan
Nach oben
Benutzeravatar
Hendri
Beiträge: 586
Registriert: 23.08.2003 12:17:43
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von Hendri » 10.07.2005 05:47:41

Hallo,
ich kann dir nur auf die schnelle Antwort auf Frage 3 geben.
Und zwar ist das mit SCPonly zu erreichen.
Ciao, Hendri
Nach oben
jans
Beiträge: 2
Registriert: 09.07.2005 20:45:48
Kontaktdaten:

Beitrag von jans » 10.07.2005 09:28:35

Okay, vielen Dank: Das klappt.

Hat noch jemand Antworten auf die anderen Fragen?

Besten Dank,
Jan
Nach oben
Antworten

Zurück zu „weitere Dienste“