|
|
 | Deling af passwords mellem linux maskiner,~
Fra : Mads |
Dato : 25-10-05 12:04 |
|
Hej
Vi har 4 Debian Etch klient maskiner og en Debian Sarge server hosted
ude i byen. I dag er alle brugerne oprettet på serveren (til mail +
div.). Men vi vil gerne have at brugerpasswords på de 4 maskiner følger
serveren.
Problemet er at 2 af maskinerne er bærbare og derfor offline en del tid.
Derudover kan man forestille sig at internet forbindelsen til serveren
ryger. I begge tilfælde skulle vi gerne have mulighed for at logge på
maskinerne.
Hvad er den bedste løsning til deling af passwords imellem maskiner der
engang imellem er offline og forbundet via internettet?
Er det muligt at lave en lokal cache på hver klient, som blev brugt
såfremt maskinen ikke kunne kontakte serveren, men bliver opdateret når
der er kontakt med serveren?
Er der nogen der kender en god howto eller erfaringer med noget ala
ovenstående?
Venlig Hilsen
Mads
| |
 Thorbjoern Ravn Ande~ (25-10-2005)
| Kommentar
Fra : Thorbjoern Ravn Ande~ |
Dato : 25-10-05 13:40 |
|
Mads <mads@iname.com> writes:
> Er det muligt at lave en lokal cache på hver klient, som blev brugt
> såfremt maskinen ikke kunne kontakte serveren, men bliver opdateret
> når der er kontakt med serveren?
I kunne kopiere /etc/passwd (og /etc/password med venner hvis I bruger
dét) ud fra serveren med jævne mellemrum.
Laver I det så serverens root-konto's ssh-nøgle er tiltroet af alle
klienternes root-konto, er det bare at scp'e dem ud.
--
Thorbjørn Ravn Andersen
| |
Mads (25-10-2005)
| Kommentar
Fra : Mads |
Dato : 25-10-05 15:47 |
|
Thorbjoern Ravn Andersen wrote:
> Mads <mads@iname.com> writes:
>
>
>>Er det muligt at lave en lokal cache på hver klient, som blev brugt
>>såfremt maskinen ikke kunne kontakte serveren, men bliver opdateret
>>når der er kontakt med serveren?
>
>
> I kunne kopiere /etc/passwd (og /etc/password med venner hvis I bruger
> dét) ud fra serveren med jævne mellemrum.
>
> Laver I det så serverens root-konto's ssh-nøgle er tiltroet af alle
> klienternes root-konto, er det bare at scp'e dem ud.
>
Det vil vel kræve at serveren forsøger at kontakte klienter relativt
ofte, når nu klienterne kan komme og gå?
Venlig hilsen
Mads
| |
 Thorbjoern Ravn Ande~ (25-10-2005)
| Kommentar
Fra : Thorbjoern Ravn Ande~ |
Dato : 25-10-05 16:19 |
|
Mads <mads@iname.com> writes:
> Det vil vel kræve at serveren forsøger at kontakte klienter relativt
> ofte, når nu klienterne kan komme og gå?
For det første er det jo kun nødvendigt når der faktisk ER skiftet
passwords. For det andet kunne man se om det var muligt at få
DHCP-serveren til at sige hvilke maskiner der pt havde et IP-nummer
(og evt have en kort leasetid).
--
Thorbjørn Ravn Andersen
| |
Mogens Kjaer (25-10-2005)
| Kommentar
Fra : Mogens Kjaer |
Dato : 25-10-05 13:46 |
|
Mads wrote:
....
> Hvad er den bedste løsning til deling af passwords imellem maskiner der
> engang imellem er offline og forbundet via internettet?
Måske kan man have en lokal NIS slaveserver på hver maskine,
som så opdaterer med masteren, når der er hul igennem?
Mogens
--
Mogens Kjaer, Carlsberg A/S, Computer Department
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk
| |
Thorbjoern Ravn Ande~ (25-10-2005)
| Kommentar
Fra : Thorbjoern Ravn Ande~ |
Dato : 25-10-05 13:48 |
|
Mogens Kjaer <mk@crc.dk> writes:
> Måske kan man have en lokal NIS slaveserver på hver maskine,
> som så opdaterer med masteren, når der er hul igennem?
Er NIS ikke kun interessant når det er for bøvlet at opdatere filerne
på hver klient?
--
Thorbjørn Ravn Andersen
| |
Mogens Kjaer (25-10-2005)
| Kommentar
Fra : Mogens Kjaer |
Dato : 25-10-05 13:57 |
|
Thorbjoern Ravn Andersen wrote:
....
> Er NIS ikke kun interessant når det er for bøvlet at opdatere filerne
> på hver klient?
>
Det er det sikkert; men hvis man ikke gider bruge
for meget tid på at scp'e når man nok smertegrænsen allerede
ved to maskiner 
Mogens
--
Mogens Kjaer, Carlsberg A/S, Computer Department
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk
| |
Thorbjoern Ravn Ande~ (25-10-2005)
| Kommentar
Fra : Thorbjoern Ravn Ande~ |
Dato : 25-10-05 14:18 |
|
Mogens Kjaer <mk@crc.dk> writes:
> Det er det sikkert; men hvis man ikke gider bruge
> for meget tid på at scp'e når man nok smertegrænsen allerede
> ved to maskiner
Crontab er din ven.
Er der iøvrigt nogen der har erfaringer med LDAP til at håndtere brugerinformationer?
--
Thorbjørn Ravn Andersen
| |
Jesper Krogh (25-10-2005)
| Kommentar
Fra : Jesper Krogh |
Dato : 25-10-05 19:15 |
|
I dk.edb.system.unix, skrev Mogens Kjaer:
> Thorbjoern Ravn Andersen wrote:
> ...
> > Er NIS ikke kun interessant når det er for bøvlet at opdatere filerne
> > på hver klient?
> >
>
> Det er det sikkert; men hvis man ikke gider bruge
> for meget tid på at scp'e når man nok smertegrænsen allerede
> ved to maskiner
NIS har altså også den fordel at du nøjes med at synkronisere faktiske
brugerkonto. Dvs. id'er over en vis størrelse. Dette sikrer at brugere
automatiske oprettet af pakker ikke får systemet til at rulle rundt i
et NIS-setup.
Jesper (NIS er rart men usikkert)
--
../Jesper Krogh, jesper@krogh.cc, Jabber ID: jesper@jabbernet.dk
| |
Mads (25-10-2005)
| Kommentar
Fra : Mads |
Dato : 25-10-05 20:50 |
|
Jesper Krogh wrote:
> I dk.edb.system.unix, skrev Mogens Kjaer:
>
>> Thorbjoern Ravn Andersen wrote:
>> ...
>>
>>>Er NIS ikke kun interessant når det er for bøvlet at opdatere filerne
>>>på hver klient?
>>>
>>
>> Det er det sikkert; men hvis man ikke gider bruge
>> for meget tid på at scp'e når man nok smertegrænsen allerede
>> ved to maskiner
>
>
> NIS har altså også den fordel at du nøjes med at synkronisere faktiske
> brugerkonto. Dvs. id'er over en vis størrelse. Dette sikrer at brugere
> automatiske oprettet af pakker ikke får systemet til at rulle rundt i
> et NIS-setup.
>
God point... Den havde jeg ikke lige overvejet... Men helt klart noget
man skal huske.
Venlig hilsen
Mads
| |
Mads (25-10-2005)
| Kommentar
Fra : Mads |
Dato : 25-10-05 15:45 |
|
Mogens Kjaer wrote:
> Mads wrote:
> ...
>
>> Hvad er den bedste løsning til deling af passwords imellem maskiner
>> der engang imellem er offline og forbundet via internettet?
>
>
> Måske kan man have en lokal NIS slaveserver på hver maskine,
> som så opdaterer med masteren, når der er hul igennem?
>
Er kommunikationen mellem NIS slave'en og NIS masteren sikker (mod
aflytning og integritet)?
Venlig hilsen
Mads
| |
Thorbjoern Ravn Ande~ (25-10-2005)
| Kommentar
Fra : Thorbjoern Ravn Ande~ |
Dato : 25-10-05 16:17 |
|
Mads <mads@iname.com> writes:
> Er kommunikationen mellem NIS slave'en og NIS masteren sikker (mod
> aflytning og integritet)?
Nøp.
--
Thorbjørn Ravn Andersen
| |
Mads (25-10-2005)
| Kommentar
Fra : Mads |
Dato : 25-10-05 21:03 |
|
Jeg har søgt lidt på nettet efter metoder til remote authentificering.
Jeg har indtil nu fundet RADIUS og LDAP. Nogen der har erfaringer med
disse? Og om de kan bruges i mit tilfælde?
Såvidt jeg har forstået kan de begge bruge TLS, så de er sikkre at sende
over internettet.
Venlig hilsen
Mads
| |
Michael Rasmussen (25-10-2005)
| Kommentar
Fra : Michael Rasmussen |
Dato : 25-10-05 22:45 |
| | |
Mads (26-10-2005)
| Kommentar
Fra : Mads |
Dato : 26-10-05 08:51 |
|
Michael Rasmussen wrote:
> On Tue, 25 Oct 2005 22:02:43 +0200, Mads wrote:
>
>
>>Såvidt jeg har forstået kan de begge bruge TLS, så de er sikkre at
>>sende over internettet.
>>
>
> Var et af dine argumenter ikke, at det skulle virke uden netadgang?
>
Lige før det sted du klippede min post står der "Og om de kan bruges i
mit tilfælde?".
Jeg har altså 2 krav:
1. Man skal kunne logge på laptop'en uden netadgang.
2. Når man har netadgang skal den authentificere mod en server der står
på internettet. Derfor skal authentifications protokollen være sikker.
Venlig hilsen
Mads
| |
Michael Rasmussen (26-10-2005)
| Kommentar
Fra : Michael Rasmussen |
Dato : 26-10-05 16:13 |
|
On Wed, 26 Oct 2005 09:50:41 +0200, Mads wrote:
> Lige før det sted du klippede min post står der "Og om de kan bruges i
> mit tilfælde?".
> Jeg har altså 2 krav:
> 1. Man skal kunne logge på laptop'en uden netadgang. 2. Når man har
> netadgang skal den authentificere mod en server der står på internettet.
> Derfor skal authentifications protokollen være sikker.
Hvis 1) skal opfyldes, giver det ingen mening med radius eller ldap, da de
netop er konstrueret med det formål, at man har "et single point of logon".
--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917
| |
Mads (27-10-2005)
| Kommentar
Fra : Mads |
Dato : 27-10-05 15:26 |
|
Michael Rasmussen wrote:
> On Wed, 26 Oct 2005 09:50:41 +0200, Mads wrote:
>
>
>>Lige før det sted du klippede min post står der "Og om de kan bruges i
>>mit tilfælde?".
>>Jeg har altså 2 krav:
>>1. Man skal kunne logge på laptop'en uden netadgang. 2. Når man har
>>netadgang skal den authentificere mod en server der står på internettet.
>>Derfor skal authentifications protokollen være sikker.
>
> Hvis 1) skal opfyldes, giver det ingen mening med radius eller ldap, da de
> netop er konstrueret med det formål, at man har "et single point of logon".
>
Det kommer jo så an på om man kan nogle tricks. I en anden post blev der
foreslået en NIS slave server lokalt på hver maskine. Hvilket jo kunne
være en god idé, hvis nettet var lukket og ikke bredt ud over internettet.
Venlig hilsen
Mads
| |
|
|