Серверные домашние каталоги и универсальный вход в сеть Linux? (Кроме как с NFS+NIS?)

Question

Серверные домашние каталоги и универсальный вход в сеть Linux? (Кроме как с NFS+NIS?)

Этот вопрос был своего рода, вроде, уже задан, но есть проблема безопасности с настройкой NFS+NIS, которая все еще беспокоит меня: если вы знаете чье-то имя пользователя /uid, вы можете настроить компьютер *nix, создать пользователя локально с тем же именем / uid и presto, вы можете смонтировать сервер FS и он даст вам доступ к файлам пользователя.

Поэтому мой вопрос конкретен: есть ли альтернативные настройки, которые не дадут доступа к файлам сервера, ни в коем случае, ни как, если у вас нет действительного имени пользователя и пароля, даже если вы настроили свой собственный компьютер и разместили его в сети?

Пользователи по-прежнему должны иметь возможность входить на свои рабочие станции и работать с файлами своего сервера без необходимости постоянно вводить пароль. Это нормально, если он работает только в графическом интерфейсе Linux, таком как Gnome.

1

linux nfs network-share roaming-profile nis

Источник

JCCyC 02 мар '10 в 20:49

4 ответа

Другие вопросы по тегам linux nfs network-share roaming-profile nis

Kamil Kisiel 03 мар '10 в 00:47 2010-03-03 00:47 · Answer 1 · 2010-03-03 00:47

НИС древний, забудь, что он вообще существует. Вы можете использовать LDAP, чтобы добиться того же самого в гораздо более современном стиле. Я предлагаю вам взглянуть на Kerberos и NFSv4 для аутентификации пользователей. Это довольно большая часть инфраструктуры, которую нужно настроить, но как только вы ее запустите, поддерживать ее будет не сложно.

3dinfluence 03 мар '10 в 00:24 2010-03-03 00:24 · Answer 2 · 2010-03-03 00:24

Нельзя ли решить проблемы безопасности с помощью NFSv4 и kerberos? Kerberos был упомянут в ответе на ваш предыдущий вопрос, но вы не упомянули его в своем новом вопросе о проблемах безопасности.

Я не вижу, как общий ресурс nfs, требующий аутентификации kerberos, может быть обманут простым совпадением имени пользователя /uid.

Учебник для Ubuntu, если это то, что вы используете, можно найти здесь.

voretaq7 02 мар '10 в 20:58 2010-03-02 20:58 · Answer 3 · 2010-03-02 20:58

Я не фанат NFS/NIS, но проблема безопасности, которую вы описываете, является проблемой конфигурации, а не внутренним недостатком: вы можете настроить свой NFS-сервер так, чтобы он обрабатывал только запросы на монтирование от известных хостов (или, если вы хотите стать модным, ограничить это по netgroup), поэтому J. Random Hacker не может просто подключить и начать монтировать вещи. Увидеть exports(5) man-страницу для деталей, или просмотрите копию книги O'Reilly NFS+NIS для действительно хороших примеров.

(Это не решает никаких других проблем с NFS/NIS, которые присущи недостаткам, но это немедленное решение вашей непосредственной проблемы:).

alex 02 мар '10 в 22:00 2010-03-02 22:00 · Answer 4 · 2010-03-02 22:00

LDAP или Samba для унифицированных входов. Любая сетевая файловая система должна позволить вам завершить уравнение.

0

Источник

alex 02 мар '10 в 22:00