|
|
 | NIS (YP)
Fra : Jacob d'Andrade |
Dato : 16-08-04 16:14 |
|
Hej Ng
Er der nogen der ved om NIS kører krypteret, og om det er muligt at bruge
mellem to servere, der står på hver sin lokation, men begge er på nettet ?
Jacob
| |
 Jonas Hauge (16-08-2004)
| Kommentar
Fra : Jonas Hauge |
Dato : 16-08-04 16:27 |
|
Jacob d'Andrade wrote:
> Er der nogen der ved om NIS kører krypteret, og om det er muligt at bruge
> mellem to servere, der står på hver sin lokation, men begge er på nettet ?
Nu skal jeg ikke gøre mig klog på NIS, men umiddelbart mener jeg ikke
NIS kan krypteres.
Du kan vel altid køre en eller anden form for VPN mellem de 2 servere på
tværs af nettet.
--
Mvh. Jonas Hauge
| |
Lasse Hillerøe Peter~ (16-08-2004)
| Kommentar
Fra : Lasse Hillerøe Peter~ |
Dato : 16-08-04 16:43 |
|
In article <4120cf2e$0$170$edfadb0f@dread11.news.tele.dk>,
"Jacob d'Andrade" <jacob@REMOVEthezub.dk> wrote:
> Er der nogen der ved om NIS kører krypteret, og om det er muligt at bruge
> mellem to servere, der står på hver sin lokation, men begge er på nettet ?
Det gør det vist ikke. Men du kan vel lave en tunnel mellem lokationerne.
En anden mulighed var måske at bruge LDAP-autentificering i stedet for
NIS. Det giver mange fordele: distribuerede servere, sikkerhed,
fleksibilitet, osv.
-Lasse
| |
Mikkel Bundgaard (16-08-2004)
| Kommentar
Fra : Mikkel Bundgaard |
Dato : 16-08-04 18:00 |
|
Jacob d'Andrade wrote:
> Hej Ng
>
> Er der nogen der ved om NIS kører krypteret, og om det er muligt at bruge
> mellem to servere, der står på hver sin lokation, men begge er på nettet ?
>
> Jacob
>
>
Det kører vidst ikke krypteret, men det kan vel laves med stunnel
imellem to lokationer. Passwordsene i NIS kan tilgængæld godt være
krypteret lige som filen shadow.
Mener jeg...
Hilsen Mikkel
| |
Lasse Hillerøe Peter~ (16-08-2004)
| Kommentar
Fra : Lasse Hillerøe Peter~ |
Dato : 16-08-04 18:47 |
|
In article <ju57v1-mbf.ln1@spritter.notfound.dk>,
Mikkel Bundgaard <newsgroup@notfound.invalid> wrote:
> Det kører vidst ikke krypteret, men det kan vel laves med stunnel
> imellem to lokationer. Passwordsene i NIS kan tilgængæld godt være
> krypteret lige som filen shadow.
Tjah, det er jo som man ser på det. Passwords i NIS er mig bekendt som
udgangspunkt almindelige Unix-passwords, dvs hashet med crypt(3). Som
bekendt er shadow-passwd indført fordi nogen[1] mener at adgangen til de
hashede passwords for let muliggør knækning af passwords. Selve
shadow-passwd filen kan derfor kun læses med root-privilegier. Om
standard NIS siger "man 8 yp" på NetBSD:
Password maps in standard YP are insecure, because the pw_passwd
field is
accessible by any user. A common solution to this is to generate a
secure
map (using ``makedbm -s'') which can only be accessed by a client
bound
to a privileged port. To activate the secure map, see the
appropriate
comment in /var/yp/Makefile.yp.
Men denne feature er vist unik for *BSD, hvor YP-implementationen vist
er en der er skrevet af Theo de Raadt. Jeg ved ikke om den kan portes
eller er portet til andre systemer.
Bruger man i stedet LDAP, kan man mig bekendt opnå en større sikkerhed,
idet LDAP kan bruge TLS (SSL), og man kan begrænse adgangen til
password-feltet via en ACL, så det ikke kan ses, men kun bruges idet man
binder sig til LDAP-serveren for autentisering. Objektklassen for en
Unix-bruger er standardiseret som posixAccount, så vidt jeg husker, jeg
mener både Solaris, IRIX og AIX kan anvende dette, foruden PAM
(pam_ldap). LDAP kan samtidig bruges til en masse andet godt.
-Lasse
(Som ikke har servere eller brugere nok til at hverken NIS eller LDAP
kan svare sig.)
[1] Jeg kendte en sysadmin der lagde garbage-data i passwordfeltet i
NIS-databasen på et Solaris-udviklingsmiljø af denne årsag. Al login
foregik med ssh med public key authentication. Det er jo også en løsning.
| |
|
|