Вопросы Теги

Клиентская головная боль конфигурации OpenLDAP в FreeBSD

Проблема с OpenID, это является большим для вещей как ServerFault, где уровень доверия в чьих-то идентификационных данных не является действительно соображением - после того как Вы начинаете заботиться, это - то, где жизнь является сложной.

Это сложно, потому что, когда я управляю своим поставщиком аутентификации, я слепо доверяю тому поставщику, потому что я выполняю его и по-видимому реализовал его к стандарту, которого я требую. Когда я перемещаю аутентификацию за пределами своего управления, я теперь должен присвоить уровень доверия поставщику аутентификации также.

В моем работодателе, согласно закону, я не могу доверять НИКАКОМУ крупному поставщику OpenID там потому что:

  • Они не осуществляют периодические изменения пароля
  • Они не осуществляют длину пароля / сложность
  • Я не могу контролировать их методы управления системами

Это не всесторонний список каким-либо образом.

Чтобы заставить OpenID работать на нетривиальные приложения, я нуждаюсь в доверяемом поставщике - и должен ограничить моих пользователей тем доверяемым поставщиком (или поставщиками). Такие поражения целое "единственное имя пользователя/пароль" преимущество. Даже затем я, возможно, все еще должен сделать некоторую проверку идентификационных данных для пользователей на более высоких доверительных уровнях. Походит на большую работу мне, особенно когда управление Вашим собственным поставщиком аутентификации не является аэрокосмическими исследованиями.

IMO, у правительств есть потенциал, чтобы заставить эту технологию работать. Если бы DMV состояния/провинциальный или почтовое отделение предложили услугу, где граждане устанавливают учетные данные онлайн, доступные через OpenID, Вы смогли бы доверять Почтовому отделению/DMV учетные данные. (Поскольку правительство заявляет: 'Необходимо доверять нам'), я полагаю, что страны как Норвегия и Дания уже выпускают отдельные учетные данные PKI.

3
задан 7 June 2011 в 18:37
1 ответ

Поскольку действительно хорошие OpenLDAP поддерживают в соответствии с FreeBSD, Вам нужно:

  • nss_ldap
  • pam_ldap - PAM ldap модуль
  • pam_mkhomedir - автоматически создать homedir пользователей от бомжа после первого входа в систему
  • sudo - с поддержкой LDAP
  • openssh-портативный - с патчем LPK (для пользователей ssh вводит LDAP),

добавьте следующее к /etc/pam.d/sshd

auth    sufficient /usr/local/lib/pam_ldap.so no_warn try_first_pass
account required   /usr/local/lib/pam_ldap.so ignore_authinfo_unavail ignore_unknown_user
session required   /usr/local/lib/pam_mkhomedir.so debug mode=0755 skel=/usr/local/share/skel

кому: /etc/pam.d/system добавить

auth            sufficient      /usr/local/lib/pam_ldap.so      no_warn try_first_pass
account         required        /usr/local/lib/pam_ldap.so      ignore_authinfo_unavail ignore_unknown_user
session         required        /usr/local/lib/pam_mkhomedir.so  debug umask=0077 skel=/usr/local/share/skel
password        sufficient      /usr/local/lib/pam_ldap.so      use_authok

группа замены passwd и sudoers в /etc/nsswitch.conf следующим:

group: files cache ldap
passwd: files cache ldap
sudoers: files cache ldap

Также необходимо изменить

  • /usr/local/etc/nss_ldap.conf
  • /usr/local/etc/ldap.conf
  • /usr/local/etc/ssh/sshd_config (Для поддержки ключей LDAP)
  • /etc/nscd.conf (Для кэширования)
2
ответ дан 3 December 2019 в 07:19

Теги

Похожие вопросы