Вопросы Теги

Централизованное управление паролями для нескольких серверных приложений

Я боюсь, что мне нравится, когда старый школьный подход использования собственных инструментов DBMS выводит схему к текстовому файлу и помещению это в управлении версиями. Я уверен, что некоторые необычные инструменты делают хорошее задание, но мое существующее поле инструментов работает просто великолепно для моих потребностей. Я только рассмотрел бы необычный материал, если бы мне были нужны автоматизированная миграция или что-то как этот. YMMV.

2
задан 4 August 2009 в 20:59
5 ответов

LDAP

SSH является хорошей опцией пойти для, но если Вы надеетесь реализовывать еще сервисы, которые зависят от централизованной аутентификации, я предложил бы, чтобы Вы посмотрели на некоторую реализацию LDAP, как OpenLDAP. Его wildy популярное, и может быть интегрировано на все службы, которые Вы упомянули выше. Плюс, его легкое, чтобы добавить новых пользователей и иметь их в наличии где угодно Вам нужны они, пока, независимо от того, что необходимо интегрироваться, это с имеет плагин LDAP. Добавьте в безопасности SSL/TLS (возможный, не требуемый), и Вы все установлены.

LDAP является определенно способом пойти. Крутая кривая обучения, поскольку я на самом деле только что испытал, но после того, как Вы заканчиваете это, это работает замечательно.

4
ответ дан 3 December 2019 в 09:54
  • 1
    Договорились. Мы на самом деле используем Novell eDirectory' s LDAP реализация, потому что это дает нам некоторые возможности аудита и агрегирования, в которых мы нуждаемся в намного большей среде и наших лицензиях, являются дешевыми благодаря тому, чтобы быть gubmint. –  Karl Katzke 5 August 2009 в 01:12

LDAP является определенно способом пойти.

Apache и SVN являются, вероятно, самым легким местом для начала работы. Взгляните на это руководство.

После того как у Вас есть эта работа, не должен быть к трудно: http://trac-hacks.org/wiki/LdapPlugin

SSH является немного более хитрым (и более катастрофическим при неправильном конфигурировании его). Необходимо настроить Сменный модуль аутентификации (PAM) на ОС, затем указывают на конфигурацию SSH на него. Это руководство показывает Вам как: http://directory.fedoraproject.org/wiki/Howto:PAM.

1
ответ дан 3 December 2019 в 09:54

Почему Вы просто не используете SSH?

Apache, Подверсия и trac могли жить в небольшой частной сети, которая может только быть достигнута ssh'ing на сервер в передней стороне, которая делает аутентификацию. Оттуда, пользователи могли открыть fowardings порта для других трех сервисов.

-1
ответ дан 3 December 2019 в 09:54
  • 1
    Мои пользователи не являются системными администраторами (я тоже, действительно), таким образом открывая оболочку isn' t эффективное решение. –  brianz 4 August 2009 в 23:00
  • 2
    Ну, возможно, они can' t имеют дело с оболочкой, но: 1) Вы don' t должны быть системным администратором, чтобы смочь открыть оболочку. и 2) они wouldn' t даже должны ввести что-либо в оболочке. –  innaM 4 August 2009 в 23:13
  • 3
    Я должен был разъяснить..., что мои пользователи являются not' t даже компьютерный народ, таким образом, I' d нравится избегать любого типа терминала. В любом случае мое отсутствие знаний здесь препятствует тому, чтобы я понял, как Ваше предложение на самом деле работало бы, но я ценю его, тем не менее. –  brianz 4 August 2009 в 23:42

LDAP должен работать для всех из них, или PAM и, следовательно, LDAP, но вы также можете подумать о RADIUS. Ключевое отличие заключается в том, что Radius будет прокси-сервером на сторонний сервер, поэтому вы можете добавить двухфакторную аутентификацию в будущем. Кроме того, радиус намного проще. Вы даже можете настроить аутентификацию с SSH на Linux на AD с помощью плагина MS Radius. После этого HR может управлять пользователями. То же самое, конечно, для freeradius / openldap. (не то чтобы это звучало как требование.;)

Вот инструкция apache & mod radius: http://www.wikidsystems.com/support/wikid-support-center/how-to/two -factor-authentication-for-apache-2.2-или выше

Вот тот, который использует apache * ldap для автоматического сканера, но вы видите отклонение: http: //www.wikidsystems. com / support / wikid-support-center / how-to / how-to-add-two-factor-authentication-to-the-seccubus-automatic-уязвимость-сканер

Вот как это сделать по ssh и pam-radius : http://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-secure-ssh-with-two-factor-authentication-from-wikid . Просто игнорируйте двухфакторные биты аутентификации.

По сути, любая другая служба, такая как SVN, вы хотите использовать PAM, и pam будет обрабатывать аутентификацию через ldap, radius или локальные учетные записи.

HTH

вы хотите использовать PAM и иметь pam для обработки аутентификации через ldap, radius или локальные учетные записи.

HTH

вы хотите использовать PAM и иметь pam для обработки аутентификации через ldap, radius или локальные учетные записи.

HTH

1
ответ дан 3 December 2019 в 09:54

Взгляните на Free IPA , чтобы получить хороший набор оболочек / пользовательского интерфейса для задач нижнего уровня управления пользователями.

0
ответ дан 3 December 2019 в 09:54

Теги

Похожие вопросы