znaczacy > comp.os.* > comp.os.linux.sieci

Michał \HoMMeR\ Paszek (24.11.2010, 09:31)
FUT: pl.comp.sieci

Witam.

Chcialbym podpiac kilkanascie serwerów OpenVPNa (stojacych u klientów)
do jakiejs wspólnej bazy uzytkowników (wystawionej na firmowym
serwerze), aby byla mozliwosc zarzadzania prawami do konkretnego
serwera, zmiany hasla przez uzytkownika, a przede wszystkim zeby
zachowac spójnosc nazw i hasel.

Najrozsadniejszym wyborem wydaje sie OpenLDAP i skrypt do autoryzacji,
jednak chcialbym uniknac koniecznosci tworzenia kont uzytkownika w
systemie. Dodatkowo phplLDAPadmin nie jest zbyt przyjazny dla koncowego
uzytkownika.

IMO najlepszym rozwiazaniem byloby stworzenie bazy uzytkowników np. w
MySQLu i "wystawienie" jakiejs strony www do zarzadzania dla uzytkowników.
Nie ukrywam, ze te kilkanascie serwerów OpenVPNowych to nie tylko Unixy,
ale i Windows, wiec wskazane byloby, zeby modul autoryzacji potrafil
takze wspólpracowac z Windowsowymi serwerami (przy LDAPie niestety
skrypt dla Windowsa nie dziala, gdyz zostal stworzony dla AD i inaczej
wygladaja zapytania).

Pytanie wiec jest nastepujace, co mozecie polecic, aby zachowac zadana
funkcjonalnosc?
Daniel Podlejski (24.11.2010, 12:52)
> Pytanie wiec jest nastepujace, co mozecie polecic, aby zachowac zadana
> funkcjonalnosc?


Nie bawic sie w baze userów/hasel, tylko skonfigurowac sobie CA (w
pakiecie z OpenVPNem jest easy-rsa) i skonfigurowac autoryzacje na
bazie certyfikatów. Jesli haslo jest wymagane, to klucz klienta mozna
zabezpieczyc haslem. Troche gimnastyki bedzie wymagac nadawnia praw
do korzystania z poszczególnych serwerów, ale powinno sie to dac
zrobic nawet za pomoca konfiguracji per klient w client-config-dir.
MaRc (24.11.2010, 13:04)
> Pytanie wiec jest nastepujace, co mozecie polecic, aby zachowac zadana
> funkcjonalnosc?


wez pod uwage, ze jesli masz grube rurki miedzy serwerami to moze sie
okazac, ze taki OpenVPN bedzie waskim gardlem, gdyz interfejsy tap/tun
maja po 10Mbit.
moze tak jak kolega powiedzial autoryzacje na certyfikatach a zamiast
OpenVPN zastosowac ipsec.
Michal \HoMMeR\ Paszek (24.11.2010, 13:08)
W dniu 2010-11-24 11:52, Daniel Podlejski pisze:
> Nie bawic sie w baze userów/hasel, tylko skonfigurowac sobie CA (w
> pakiecie z OpenVPNem jest easy-rsa) i skonfigurowac autoryzacje na
> bazie certyfikatów. Jesli haslo jest wymagane, to klucz klienta mozna
> zabezpieczyc haslem. Troche gimnastyki bedzie wymagac nadawnia praw
> do korzystania z poszczególnych serwerów, ale powinno sie to dac
> zrobic nawet za pomoca konfiguracji per klient w client-config-dir.

Korzystam z CA, dla kazdego serwera generuje unikatowe CA i certyfikaty
klientów. Zalezy mi na autoryzacji uzytkownik/haslo ze wzgledu na
polityki bezpieczenstwa klientów, trudnosci z przekonaniem klientów, ze
certyfikaty sa duzo bardziej bezpieczne, niz podawanie uzytkownika/hasla.
Mariusz Kruk (24.11.2010, 13:11)
["Followup-To:" header set to pl.comp.sieci.]
epsilon$ while read LINE; do echo \>"$LINE"; done < "=?UTF-8?B?Ik1pY2hhxYIgXCJIb01NZVJcIiBQYXN6ZWsi?="
>także współpracować z Windowsowymi serwerami (przy LDAPie niestety
>skrypt dla Windowsa nie działa, gdyż został stworzony dla AD i inaczej
>wyglądają zapytania).


Poczekaj, ale nie można skryptu przerobić? Przecież nikt nie mówi, że
trzeba korzystać z AD, prawda? Gdzie jest problem? Bo coś niejasno
napisałeś.
Michal \HoMMeR\ Paszek (24.11.2010, 13:21)
W dniu 2010-11-24 12:04, MaRc pisze:
> wez pod uwage, ze jesli masz grube rurki miedzy serwerami to moze sie
> okazac, ze taki OpenVPN bedzie waskim gardlem, gdyz interfejsy tap/tun
> maja po 10Mbit.
> moze tak jak kolega powiedzial autoryzacje na certyfikatach a zamiast
> OpenVPN zastosowac ipsec.

Przepustowosc takiego polaczenia ma drugorzedne znaczenie - dostep do
sieci klientów potrzebny jest dla aktualizacji oprogramowania, dzialan
serwisowych i testowych. OpenVPN jest narzedziem, które sie bardzo
dobrze sprawdza. Chcialbym tylko ujednolicic autoryzacje, oraz miec
latwy sposób zarzadzania prawami do konkretnych klientów.
Stachu 'Dozzie' K. (24.11.2010, 13:28)
On 2010-11-24, Michał "HoMMeR" Paszek <hommer@[SPAM_SIO]> wrote:
[...]
> Zależy mi na autoryzacji użytkownik/hasło ze względu na [...]


Zadanie domowe: doczytać co to jest autoryzacja. I napisać trzysta razy
w zeszycie: "nie będę używać słów, których znaczenia nie rozumiem".
Michał \HoMMeR\ Paszek (24.11.2010, 13:34)
W dniu 2010-11-24 12:28, Stachu 'Dozzie' K. pisze:
> Zadanie domowe: doczytać co to jest autoryzacja. I napisać trzysta razy
> w zeszycie: "nie będę używać słów, których znaczenia nie rozumiem".


Racja. Autentykacja.
Michał \HoMMeR\ Paszek (24.11.2010, 13:36)
W dniu 2010-11-24 12:34, "Michał \"HoMMeR\" Paszek" pisze:
Podobne wątki