SSO-Lösung und zentralisierte Benutzerverwaltung für ca. 10-30 Ubuntu-Maschinen?

7

Ich suche nach einer sauberen Möglichkeit, die Benutzerverwaltung zu zentralisieren. Die Einrichtung:

  • Über 10-30 Linux-Maschinen (Ubuntu 10.04 LTS-Server)
  • Vielleicht 10-30 Benutzer für jetzt.

Die Anforderungen (Hoffnungen und Erwartungen):

  • Ein einziger Ort, an dem der Administrator Benutzerkonten, Kennwörter und die Liste der Computer verwalten kann, auf die jeder Benutzer Zugriff hat. (Und wahrscheinlich Gruppen.) Muss nicht ausgefallen sein.

  • Einmaliges Anmelden für SSH: Der Benutzer sollte sich von Computer A zu Computer B anmelden können, ohne sein Kennwort erneut eingeben zu müssen.

Eine schnelle Google-Suche gibt mir Hinweise auf OpenLDAP und Kerberos, aber ich bin nicht sicher, wo ich anfangen soll und welches Problem jede Lösung tatsächlich lösen wird. Wo lang geht es? Ich würde gerne ein klares Tutorial finden , das sich auf dieses Thema konzentriert. (Oder: stelle ich "eine falsche Frage"?)

Tuomassalo
quelle

Antworten:

8

Google hat Sie auf den richtigen Weg geführt. Idealerweise möchten Sie sowohl LDAP für die zentrale Benutzerverwaltung als auch Kerberos für zusätzliche Sicherheit und SSO.

Mit LDAP allein erhalten Sie eine zentralisierte Benutzerverwaltung, aber Benutzer müssen sich bei jedem Dienst, den sie ebenfalls verbinden, erneut authentifizieren. Hier kommt Kerberos ins Spiel, das dem Client ein Ticket ausstellt, mit dem der Benutzer nach der Authentifizierung Zugriff auf andere Dienste erhält.

Für Kerberos benötigen Sie eine stabile synchronisierte Zeitquelle. Ich würde also zunächst NTP, DHCP und DNS richtig einrichten. Konfigurieren Sie dann Ihre Client-Workstations so, dass ihr NTP von DHCP abgerufen wird. Sobald Sie wissen, dass Sie eine stabile Zeitquelle haben, können Sie LDAP- und Kerberos-Server einrichten, um die erforderlichen Verzeichnisdienste bereitzustellen, um sie zusammenzuführen.

3dinfluence
quelle
4

Ich habe die Spinlock- Anleitungen dafür hervorragend gefunden. Ich habe sie verwendet, um eine SSO-Umgebung mit SSH-Ticketweiterleitung für ein Entwicklungsbüro mit etwa 30 Entwicklern einzurichten. Es gibt viele verschiedene Komponenten, und die Verwaltung ist ziemlich schwierig. Sie benötigen einen guten LDAP-Client wie Apaches Directory Studio für die Benutzerwartung.

Wenn sich irgendwo in Ihrem Unternehmen ein Active Directory befindet, verfügt Ebenso (Google für Ebenso offen, bei Serverfault kann ich nicht mehr als einen Link veröffentlichen) jetzt über eine Open-Source-Version der SSO-Lösung, die möglicherweise einen Blick wert ist. Es unterstützt auch die Weiterleitung von SSH-Tickets.

Chris Doherty
quelle
+1 wirklich guter Link
Neuro