# Autenticazione utente centrallizata

## medknight

Ciao a tutti,

ho bisogno di un consiglio da chi è più esperto di me...ho alcuni pc con gentoo e gli account sono ovviamente duplicati su tutte le macchine con conseguenti casini per le password; vorrei utilizzare uno di questi pc, quello che già attualmente mi fa da DNS, DHCP e CUPS server come server per l'autenticazione. A tal proposito mi sono documentato su openLDAP ma mi è sembrato veramente difficile da configurare. Conoscete altre possibilità?

Aggiungo che uno dei pc è un portatile che uso sia in rete locale sia in altre reti, ad esempio dai clienti, quindi mi serve poter decidere se l'autenticazione è quella tradizionale via pam o LDAP (o alternativa che suggerite).

Sono sicuro che esistano già sistemi che fanno questo, non penso di aver richieste fuori dal normale...

----------

## koma

Radius è più semplice ma non so verso che documentazione indirizzarti. io i server Radius li ho fatti su windows.

----------

## djinnZ

Per quel che so ci sono due strade: OpenLdap "puro" che è complicato (non troppo) ma se ti ci applichi ti consente anche di avere dei "profili utente" multipiattaforma (accedi con linux, mac-os, bsd o quell'altro e ti ritrovi mail, documenti, password memorizzate e preferiti su mozilla/crome sempre identici) o radius.

Mai applicato seriamente alla questione. Per quel poco che devo gestire (una manciata di pc e due utenti, root e user) faccio prima a copiare /etc/shadow.

L'autenticazione remota è l'ultimo dei miei pensieri. Al massimo mi farebbe comodo una soluzione per sincronizzare le password del windozz con shadow sul pc dual boot.

 *koma wrote:*   

> windows.

 sempre il solito...  :Laughing:  felice di ritrovarti, chi non muore si rivede...  :Mr. Green: 

comumque per radius su linux devi sempre passare per samba ed openldap alla fine, se vuoi fare qualcosa di valido.

Una via alternativa, molto semplice, che sicuramente farà inorridire (non è colpa mia, è koma che mi porta sulla cattiva strada), è quella antica:

NIS+NFS

In pratica il server nis non fa altro che copiare alcuni file sui client tra questi passwd group e shadow.

Le implicazioni in termini di (in)sicurezza sono quelle che sono.

Anche se circolano in rete informazioni esagerate da parte dei soliti noti (un esempio abbastanza neutrale nonostante la provenienza) per vendere la loro paccottiglia i problemi ci sono ed è folle penare di usarlo senza ipsec IMHO.

Questo è quello che posso dirti.

----------

## medknight

Intanto grazie a tutti delle risposte chiarificatrici.

Per quello che mi sono messo in testa di fare l'unica strada possibile, confermato anche dalle parole di djinnZ, è OpenLDAP, proprio perché vorrei creare un'autenticazione multi piattaforma e una rubrica condivisa.

A tal proposito ho già iniziato a migrare tutti i dati di una macchina su ldap, non senza dolore, ma ora mi sono bloccato su pam, ma la richiesta di aiuto forse è meglio scriverla in un thread apposta.

----------

## koma

 *djinnZ wrote:*   

> 
> 
>  *koma wrote:*   windows. sempre il solito...  felice di ritrovarti, chi non muore si rivede... 
> 
> 

 

Io vi scruto dall'ombra  :Very Happy: 

Purtroppo Quando si va a gestire 5000 o 6000 utenti farlo con openldap diventa troppo difficile non trovi le eccezioni. Mi piange il cuore a dirlo ma Active directory per queste cose funziona in maniera perfetta e il servizio radius di windows (NB deve essere versione datacenter se vuoi gestire le classi di ip CLIENT)  è facilissimo da ocnfigurare e permette tutte le ccezioni possibili e immaginabili.

----------

## medknight

Visto che ci siamo allora ampliamo un pochino il panorama...dopo aver letto le vostre opinioni, mi sono chiesto se non fosse il caso di andare verso un sistema sicuramente più complesso, ma forse più facile da mantenere e mi sono imbattuto in tre diversi prodotti che potrebbero fare al caso mio, anche se forse sono fin esagerasti per le mie necessità:

apacheDS

389 Directory Server, aka Fedora Directory Server

OpenDS

Ognuno di questi ha un motivo per essere scelto, in particolare 389 Directory Server è già in portage, anche se ~, ma girando un pò in rete non ho trovato molto, li conoscete?

Ora sto approntando una virtual machine con gentoo per installarli tutti e tre e tentare di capire un pò meglio. 

Ogni consiglio/link che potete darmi è, ovviamente, il ben accetto

----------

## djinnZ

 *koma wrote:*   

> gestire 5000 o 6000 utenti

 Hai centrato il punto.

Non si usa il caterpillar dove basta una pala e non si prova a fare con la pala un lavoro da caterpillar (morirai di stenti prima di finire).

Ma non è questione di numeri quanto di chi e come deve metterci mano e di qual è la struttura aziendale e le gestioni dati su cui vai ad intervenire (qui però mi autocensuro perché il discorso sarebbe troppo lungo ed andrei a commettere diversi reati dicendo quel che penso della "privacy" ed annessi).

Se devi lasciare ad un "amministratore medio" (leggi c*****ne) la gestione di un quadro abbastanza dinamico ti conviene la soluzione proprietaria (con tutte le limitazioni che pone) ed il solito gingillarsi con mouse ed icone, se hai dei gruppi omogenei e tutto sommato "statici"  su cui devi gestire abilitazione e disabilitazione ti conviene dannarti un poco e crearti qualche script a hoc.

Per piccole esigenze ... beh basta fare i conti.

Considerando che i pc e gli account si sono ridotti a me stesso, me medesimo e la mia persona e mi muovo molto più che in passato trovo più utile tenere la rubrica su gmail (anche se non ho ancora trovato un modo valido per stamparla e gestire efficacemente la sincronia con lo stramaledetto android) e l'autenticazione remota è solo una complicazione aggiuntiva. 

Dato che le mie esigenze al massimo si riportano a sincronizzare le password tra i due os di un singolo pc mi riprometto sempre di applicarmi a questo ed ho scartato openldap & C.

Inutile sottolineare che ci sono tante vie di mezzo possibili finché si resta in ambito open source.

 *medknight wrote:*   

> aka Fedora Directory Server

 qualsiasi cosa abbia a che fare con il cappello cerco di evitarla.

Non ci posso far nulla ma (a parte il fatto che mi viene da pensare a codesta fetenzia) dopo aver visto htaccess e shadow leggibili e scrivibili a tutti, cavolate assortite ed essermi confrontato con centos mi rendo conto che è solo un modo di adattare linux ai modi del solito semitruffatore installatore windozziano da operatta.

Lo so che sono prevenuto ma è più forte di me, vedo rosso.

----------

## devilheart

Una volta non c'era una serie di script per semplificare la gestione di openldap? smbldap-tools?

----------

## medknight

Esistono ancora, ma partono dal presupposto che ldap sia installato, configurato e funzionante, ovvero proprio la parte difficile di tutta l'opera

----------

