Hallo,
ich setzte gerade eine kleine NAS auf, die allerlei Dienste bei mir im Netzwerk bereitstellen soll. Nun möchte ich aber nicht für jeden Dienst die Benutzer einzelnd anlegen, sondern zentral verwalten. Was bietet sich da mehr an als der interne AD Service des Samba4 Servers. Früher habe ich dafür MySQL bzw. LDAP benutzt.
Da ich Samba als DC für meine Windowsrechner benutze, kann ich nun von überall auf die gleichen Daten zugreifen, dazu muss ich aber den internen AD Service benutzen und OpenLDAP bzw. MySQL kommen nicht mehr infrage.
Bitte korrigiert mich wenn ich da falsch liege.
Bisher hat es auch alles wunderbar funktioniert, nun möchte ich aber auch die Anmeldung auf die NAS selber(SSH) und anderen Diensten wie Mail, VPN mit den gleichen Anmeldedaten realisieren.
Die meisten Webdienste die PHP benutzen, wie z.B. Owncloud oder SOGo, lasse ich die Daten über den Samba4 integrierten LDAP-Socket beziehen.
Wie sieht es aber mit VPN, SSH, FTP und co. aus oder gar Linuxrechnern im Netzwerk.
Mein problem liegt bisher darin, das ich nicht genau herausgefunden habe wo welcher Dienst greift. Vielleicht könnt ihr mir dabei auf die Sprünge helfen und mir die besten Optionen aufzeigen.
Ich schilder hier mal wie ich es bisher versanden habe:
PAM ist ein System auf das alle lokelen Dienste zugreifen können um herauszufinden woher sie ihre Daten beziehen sollen, mit passender Konfiguration für jeden Dienst und Authentifizierungsschnittstelle, sozusagen eine zentralisierte Authentifizierung-Konfiguration.
NSS ist nur für die glibc interne Authentifizierung in Linux.
Radius ist mehr ein Protokoll, das auch eine Zentralisierte Authentifizierung ermöglicht und ist für Netzwerkdienste gedacht. Bei dem alle Authentifizierungsanfragen vom Dienst erst an einen Radiusserver geschickt werden der diese dann prüft.
Kerebros ist auch ein Protokoll, bei dem aber beide Seiten Client und Server mit einer Kerebros Datenbank verbunden sind und sich gegensetig authentifizieren. Dazu muss der Client aber schon im Netzwerk sein, was bei mir die Windowsrechner sind.
So wie ich es versanden habe kann ich für die Netzwerkdienste nur PAM, Radius oder LDAP benutzen, wobei sie die jeweiligen Dienste unterstützen müssen. PAM geht nur wenn sich der Dienst lokal auf der NAS befindet. Aber in PAM kann ich dann wiederrum LDAP/WinBind/Radius als zu zu benutzendes Backend eintragen. Und Radius kann dann wiederum LDAP benutzen.
Welche Kombination sollte ich für welchen Dienst benutzen.
Danke schon mal im vorraus.