Требуется единая база учётных записей, как на вход в систему (UNIX-сервис), так и на общие сетевые ресурсы (Samba-сервис), FTP и прокси. Это реально? Также реально ли организовать политику, когда доступ на, допустим, прокси, предоставляется лишь определённым пользователям?
Требуется единая база учётных записей, как на вход в систему (UNIX-сервис), … Это реально?
Также реально ли организовать политику, когда доступ на, допустим, прокси, предоставляется лишь определённым пользователям
там же
Можете ткнуть пальцем (дать ссылку и цитату)? Хотелось бы, чтобы пользователь смог, изменив пароль на клиентском компьютере, допустим, от входа в систему, изменял пароль на все свои службы.
Пароли хранятся в LDAP в различных ветках. У пользователя нет прав на изменения паролей к учетным записям сервисов.
Можно сделать так, чтобы пароли хранились в одной ветке? (А все остальные опции - в разных)
И как пользователи смогут менять свои пароли? Допустим, от входа в систему. Хотелось бы в итоге получить функциональность, сравнимую с окошками.
Чтоб пароли находились в одной ветке - придется перелопачивать все конфиги, плюс скорее всего получим потетрю модульности.
Да и ни к чему это, при желании - вы можете поиграть с правами на разные ветки в файле /etc/openldap/slapd.conf.
Да и это по большому счету ни к чему, на форуме вы можете найти (да-да найти, поиск для того и сделан, чтоб не тыкать пальцем для каждого) вариант web-интерфейса для jaber, при желании вы можете исправить его под остальные сервисы.
Что касается изменения пароля samba - поищите в документации по поводу cl-passwd на стороне клиента, если я не ошибаюсь - это решит ваши проблемы.
Можно сделать так, чтобы пароли хранились в одной ветке?
Используйте во всех сервисах одинаковый пароль, если Вы забиваете на безопасность.
И как пользователи смогут менять свои пароли?
cl-passwd, запущенная пользователем CLD из консоли, поменяет пароль на вход в систему. Изменения вступят в силу при выходе пользователем из сеанса. Теоретически это можно было бы доработать для смены паролей других служб. Но я думаю мы реализуем немного по другому. К сожалению не в ближайшее время.
Александр,
Сомневаюсь, что администратор сможет убедить пользователей “использовать во всех сервисах одинаковый пароль”. К тому же дублировать несколько раз базу паролей - дурной тон. Если же на данный момент хранение всех паролей в одной ветке не представляется возможным, то, может, возможно организовать авторизацию на всех сервисах (SMB, FTP, прокси) по учётной записи Unix? Например, на окошках, понятно, пользователи не вводят отдельный пароль для работы с общим сетевым ресурсом (\\server\share\), и некоторые прокси-серверы умеют производить NTLM-авторизацию.
Вы писали,
Хотелось бы в итоге получить функциональность, сравнимую с окошками.
Насколько я предположил, клиенты тоже под линуксом. У нас пользователи не знают паролей Mail и Jabber. Учётка настраивается при первом входе, дальше вбиваются и сохраняются пароли. Кто работает из дома - даем пароль. Вот как бы и все. Были мысли добавить и автозаполнение паролей к сервисам в приложения при первом входе. Но это не приоритетная задача.
Александр,
Да, клиентов планируем сажать на CLD. Но есть вещи, которые, как ни странно, оказались очень удачными в мире окошек, поэтому не хотелось бы их терять. В частности:
-
авторизация во всех сервисах по учётной записи для входа в систему;
-
возможность пользователю самому сменить пароль от входа в систему. Не через консоль;
-
и многие другие.
Я с Вами полностью согласен. Нет предела совершенства. Нам просто не разорваться в решении всех поставленных задач, особенно без поддержки сообществом. Проблемы в общем-то понятны.
Ну пока что Бог с ней, со сменой пароля (хотя на мой взгляд графический фронтенд для cl-passwd пишется за день, внедряется в дистрибутив за столько же). Больше волнует авторизация с использованием учётных записей Unix. Мне казалось, всё должно решаться правкой настроек, только пока что непонятно, “куда копать”.
хотя на мой взгляд графический фронтенд для cl-passwd пишется за день, внедряется в дистрибутив за столько же
В утилитах подобный функционал будет реализован несколько по другому. На это понадобится значительно больше времени, но код не придется переписывать.
Бог с ней, с cl-passwd. Повторюсь, гораздо более интересно то, как настроить демоны (Samba/squid/etc) на использование системы авторизации Unix.
Попробуйте посмотреть в сторону PAM. Настроенный unix сервис через ldap позволяет видеть пользователей в системе.