Hi!
Ich habe jetzt zunehmend mehr Rechner zuhause stehen und habe logischerweise keine Lust, die Logins auf diesen immer aktuell zu halten. Daher dachte ich, dass ich doch dafür ein einstprechendes Protokoll nutzen könnte. Da scheint es zwei alternativen zu geben: LDAP und Kerberos die beide unter Debian von OpenLDAP oder krb5/Heimdal unterstützt werden. Nun habe ich keine besonders hohen Sicherheitsanforderungen, da das ganze nur für zuhause gedacht ist aber ich würde gerne dass die Logins in einem Cache landen. D.h. also wenn der Authentifizierungsserver nicht verfügbar ist (also etwa weil ich den Stecker aus dem Laptop gezogen habe und im Wintergarten sitze) ein Login trotzdem möglich sein sollte. Das scheint mittels Replizierung lösbar zu sein: ein lokaler LDAP/Kerberos-Server, der sich mit einem zentralen Server in regelmäßigen abständen Synchronisiert und der als Fallback funktioniert, wenn der Remote-Server nicht verfügbar ist.
Die Frage ist nun: welches nehmen? Kerberos oder LDAP?
LDAP oder Kerberos für Authentifizierung?
-
Leonidas
- Beiträge: 2032
- Registriert: 28.04.2003 13:48:49
- Lizenz eigener Beiträge: MIT Lizenz
-
Kontaktdaten:
LDAP oder Kerberos für Authentifizierung?
Wir wollten einen Marsch spielen, aber wir hatten nur Xylophone.
Re: LDAP oder Kerberos für Authentifizierung?
Hmm, also wenn der Server nicht verfügbar ist, dann kriegst du vermutlich mit beidem ein Problem. AFAIK verwendet man Kerberos oft zusammen mit LDAP, insofern würde ich wenn du darauf bestehst erst mal LDAP einrichten. Allerdings ist auch das meiner Meinung nach für ein paar Rechner zuhause völliger Overkill, und viel mehr Arbeit, als die Accounts manuell abzugleichen.
Zwei (perverse, aber) weniger aufwändige Varianten wären: 1) per script und cronjob accounts syncen 2) pam_smb
Meiner Erfahrung mit LDAP nach würde ich sagen, es lohnt sich erst ab ca.: #Benutzer * #Rechner >= 50 (oder auch 100)
Zwei (perverse, aber) weniger aufwändige Varianten wären: 1) per script und cronjob accounts syncen 2) pam_smb
Meiner Erfahrung mit LDAP nach würde ich sagen, es lohnt sich erst ab ca.: #Benutzer * #Rechner >= 50 (oder auch 100)
-
Leonidas
- Beiträge: 2032
- Registriert: 28.04.2003 13:48:49
- Lizenz eigener Beiträge: MIT Lizenz
-
Kontaktdaten:
Re: LDAP oder Kerberos für Authentifizierung?
Ja, ich bin auch dazu tendiert. Gut, seine Ideen bestätigt zu finden.bse hat geschrieben:insofern würde ich wenn du darauf bestehst erst mal LDAP einrichten. Allerdings ist auch das meiner Meinung nach für ein paar Rechner zuhause völliger Overkill, und viel mehr Arbeit, als die Accounts manuell abzugleichen.
Erstere könnte sogar ganz ok sein, auf SMB/CIFS würde ich eigentlich in einer Unix-Only Umgebung eher verzichten wollen.bse hat geschrieben:Zwei (perverse, aber) weniger aufwändige Varianten wären: 1) per script und cronjob accounts syncen 2) pam_smb
Naja und außerdem gibt es ja noch den Basteltrieb
Wir wollten einen Marsch spielen, aber wir hatten nur Xylophone.