Аутентификация пользователя; ПАМ или Радиус? [закрыто]
В колледже я являюсь частью группы студентов, которые обеспечивают работу серверной инфраструктуры для студентов. В последнее время у нас было много проблем с серверами, и мы решили, что, наверное, лучше начать с нуля и все переустановить.
В настоящее время мы используем PAM (libpam-mysql) для аутентификации пользователей.Пользователи должны иметь возможность использовать свои учетные записи для входа через SSH, FTP, SMB (Samba), почтовые серверы, наш веб-сайт и, возможно, в будущем также ownCloud. Большая часть управления пользователями происходит через веб-сайт (PHP, MySQL), где пользователи также могут настраивать свои пакеты хостинга (включая vhosts). На всех серверах работает Debian.
Один из новичков указал мне, что если мы все равно собираемся все переустанавливать, для нас, вероятно, лучше использовать Radius вместо PAM. Я сам (будучи относительно новичком) не знаком ни с одним из них, и Google оказался на удивление бесполезным при проведении некоторых исследований по этому поводу.
Что больше подходит для нашего случая использования, но также и в целом? Есть ли у одного большие преимущества перед другим?
Заранее спасибо.
It would be very hard to use RADIUS without using PAM. PAM defines an API for accessing credentials providers (and other session related stuff) which can be the usual files, NIS, LDAP, RADIUS....
The bit you're talking about changing is the credentials provider. There are places that PAM can't go - and to handle these cases it might be worth looking at whether the credentials providers which are supported are also supported under PAM (and note that in some cases it's possible to stack providers e.g. CAS on top of LDAP). Furthermore, PAM can use multipe credential providers.
You need to look at the estate for which you are trying to manage and identify what providers it could support, then think about how much effort is involved in configuring, coding and migrating.
(IME RADIUS never got much beyond authentication for network infrastructure - it's probably still worth considering if you need to implement EAP)