- Пятница, 3 сентября 2010

ldap_auth@conference.gentoo.ru

Пятница, 3 сентября 2010< ^ >

anarchist установил(а) тему: Продолжаем debug

Конфигурация комнаты

Участники комнаты

GMT+4
[00:09:23] slepnoga вошёл(а) в комнату
[00:22:44] slepnoga вышел(а) из комнаты
[04:37:44] slepnoga вошёл(а) в комнату
[06:42:20] slepnoga вышел(а) из комнаты
[08:04:10] hedgeven вошёл(а) в комнату
[08:10:53] hedgeven вышел(а) из комнаты
[08:17:23] slepnoga вошёл(а) в комнату
[08:36:53] Anarchist вошёл(а) в комнату
[08:44:28] slepnoga вышел(а) из комнаты
[08:45:05] slepnoga вошёл(а) в комнату
[08:54:23] slepnoga вышел(а) из комнаты
[08:54:47] slepnoga вошёл(а) в комнату
[09:48:33] slepnoga вышел(а) из комнаты
[11:41:49] Anarchist вышел(а) из комнаты
[11:48:34] Anarchist вошёл(а) в комнату
[11:51:55] hedgeven вошёл(а) в комнату
[12:25:52] hedgeven вышел(а) из комнаты
[12:49:18] hedgeven вошёл(а) в комнату
[12:49:40] <hedgeven> привет
[12:50:24] <hedgeven> пытаюсь разобраться с ldap и все-все-все... но от кучи информации в голове каша
[12:51:30] <hedgeven> хочу сделать на сервере типа single sign-on для linux и win юзеров
[12:52:05] <hedgeven> пока установил и сделал базовую настройку openldap+heimdal(krb5)
[12:52:59] <hedgeven> и не понимаю что зачем нужно...
[12:53:44] <hedgeven> kerberos ведь сам сможет вести БД юзеров и паролей, тогда зачем нужен ldap?
[12:54:55] <hedgeven> и sasl вроде как нужен... но каков механизм взаимодействия всех компонентов, и что за чем идет
[12:55:58] <hedgeven> извиняюсь за глупые вопросы, но пока в голове каша
[12:57:34] <hedgeven> и да, еще PAM
[12:58:02] <hedgeven> логика подсказывает, что все это нужно завести через единую БД
[13:25:58] <Anarchist> Привет,
[13:27:17] <Anarchist> С Kerberos дел не имел. Практически уверен, что сразу запустить рабочую систему с ним ты не сможешь. Лучше двигаться последовательно.
[13:27:34] <Anarchist> LDAP --- суть _протокол_ (не база).
[13:28:06] <Anarchist> Относительно степени нужности (условий и цены) ssl ты можешь получить интере-е-есную задачку.
[13:28:09] <Anarchist> :)
[13:28:47] <Anarchist> Хорошей доки с описанием принципов написания сценариев авторизации (PAM) не встречал...
[13:43:52] <hedgeven> спасибо за ответ.
[13:44:41] <hedgeven> хотелось бы полностью перенести базу юзеров с компа (/etc/passwd /etc/shadow /etc/group) в отдельную защащеную БД
[13:45:35] <hedgeven> да ldap - протокол, но одна из его реализаций таки ведет БД.
[13:45:46] <hedgeven> openldap всмысле
[13:46:57] <Anarchist> Ну... Защищённость LDAP --- это вещь в себе. Учи историю (почему ЕМНИП сначала парли начали шифровать, а потом хэши вынесли вообще в отдельный файл)! :)
[13:47:09] <Anarchist> Зверей много?
[13:47:53] <hedgeven> пока для начала 4 домашних жильца/компа (2win, 2 linux)
[13:48:30] <Anarchist> Ни фига! Учи матчасть! :) LDAP (и OpenLDAP в частности) использует БД в качестве back-end'а (с по крайней мере принципиальной возможностью выбора).
[13:48:38] <Anarchist> Это компьютеры или как???
[13:48:54] <hedgeven> раздачу инета им сделал, iptables по минимуму настроил
[13:49:01] <hedgeven> да компы и буки
[13:49:15] <hedgeven> думаю squid настроить
[13:49:31] <hedgeven> и да ntlm сдается мне, нафиг не надо
[13:49:47] <hedgeven> значит остается kerberos
[14:09:49] <hedgeven> ок, еще вопрос.)
[14:11:59] <hedgeven> squid я заметил можно завести через sasl, sasl можно заставить работать с БД kerberos5. и хорошо бы pam настроить на krb...
[14:13:43] <Anarchist> ntlm понятно что в топку... А какие претензии к basic'у (который вполне умеет работать с базой через LDAP)?
[14:14:11] <hedgeven> но доков по samba+kerberos без привязки к AD я не встречал
[14:14:42] <hedgeven> хмм... у меня пробел про basic. даже не знаю что это)
[14:14:51] <Anarchist> А зачем тебе Samba?
[14:15:00] <hedgeven> для виндоюзвере
[14:15:02] <hedgeven> й
[14:15:07] <Anarchist> Почитай squid.conf.default
[14:15:19] <hedgeven> сам ее не люблю. но
[14:15:29] <Anarchist> Виндоюзвери нехайц учатся пользоваться [например] ftp.
[14:16:01] <hedgeven> ftp тоже не отличается удобством
[14:16:13] <Anarchist> Basic --- это один из вариантов http-авторизации (реализован не только в сквиде, но и как минимум в Индейце).
[14:16:17] <Anarchist> Огласи список задач.
[14:16:56] <hedgeven> таак... у меня еще один пробел... а можно виндоюзеров завести в домен(single sign-on) без samba?
[14:17:01] <hedgeven> задачи:
[14:18:17] <hedgeven> single sign-on, почта, прокси+антивирь+учет трафа, файлопомойка, хттп
[14:18:33] <Anarchist> Ещё один пробел :) Ищи на форуме (в разделе "Системное админитрирование") как я пытался вымучить внятное описание сущности "домен".
[14:18:42] <hedgeven> читал)
[14:18:55] <Anarchist> Что такое "single sign-on"
[14:18:57] <Anarchist> ?
[14:19:43] <Anarchist> Файлопомойка --- можно в директивном порядке сказать, что доступ по FTP. Или лучше --- NFS?.. :)))
[14:20:26] <hedgeven> ну типа при запуске компа ввел учетные данные, и получаешь доступ к почте, трафику, и прочим личным данным, хранящимся на сервере
[14:20:28] <Anarchist> А Kerberos ЕМНИП всё же скорее по части шифрования, а не базы...
[14:20:42] <hedgeven> что-то подобное есть в calculate directory server
[14:21:04] <Anarchist> Ты уверен, что в кулькуляторе оно работает? Причём работает как надо?..
[14:21:37] <Anarchist> Помнится, пробовал я в блоге Lautre задавать всякие неудобные вопросы (справделивости ради: ещё и во в меру ехидной форме).
[14:21:41] <Anarchist> И чем дело кончилось?..
[14:21:47] <hedgeven> да, я пробовал полгода назад, были глюки с этим... но...
[14:22:50] <Anarchist> Правильно, Lautre побежал ябедничать, был задействован административный ресурс, неудобные вопросы просто удалили (зачем заморачиваться с решением?)...
[14:22:56] <Anarchist> В смысле "глюки"?
[14:25:49] <hedgeven> ну я не смог ввести вин-машину в "домен" калькулятора, с очень странными ошибками, на форумах почитал и понял, что пока калькулятор недопилен. да и не мой это путь, не хочу готовых решение. просто хочу понять как все завязано. а то ведь многие опытные админы(особенно win-админы) даже не представляют всех процессов происходящих на сервере
[14:27:44] <hedgeven> все таки как я понял kerberos не столько(не только) шифрование. это в первую очередь выдача tickets на доступ к учетным данным. и да, kerberos может быть бэкэндом к тому же ldap и sasl
[14:27:51] <hedgeven> http://post.hppi.troitsk.ru/~mike/Heimdal/heimdal.html
[14:28:07] <hedgeven> ...Решением этих проблем является введение единой системы регистрации в локальной сети с помощью протокола Kerberos
[14:28:31] <Anarchist> Есть мнение, что кулькулятор не допилят никогда.
[14:28:46] <hedgeven> ...Сегодня мы рассмотрим настройку открытой версии Kerberos Heimdal для работы с OpenLDAP в качестве хранилища учетных данных. Такое решение позволит вам создать однородную информационную среду для обеспечения процесса аутентификации и авторизации пользователей в Linux.
[14:28:53] <Anarchist> Странные ошибки могут быть вызваны очень разными причинами.
[14:28:53] <hedgeven> http://www.securitylab.ru/analytics/264318.php
[14:29:20] <Anarchist> Правильно, молодец! Будешь ответственным за написание патчей для гентушной доки! :)))
[14:29:43] <hedgeven> главная причина ошибок при использовании гуев - непонимание того, что творится под капотом
[14:30:06] <hedgeven> ну все если осилю то да, напишу)
[14:30:28] <Anarchist> Ну да, с таким уточнением про kerberos соглашусь. Ты только задумайся над вопросом: где, для чего и насколько он нужен. И какова цена?
[14:30:47] <Anarchist> Наводящий вопрос: какова цена [например] SSL?
[14:31:21] <Anarchist> Не... Всё да в надлежащем качестве --- этот такой синоним "никогда" :)))
[14:31:27] <hedgeven> меня в данный момент не столько/не только шифрование волнует, а именно глобальная авторизация
[14:32:02] <Anarchist> Системный администратор --- тоже в меру ахтунг.
[14:32:09] <Anarchist> Ты завтра-послезавтра как?
[14:32:21] <Anarchist> Гентушную доку взял?
[14:32:29] <hedgeven> количество доков по krb+... поражает "многочисленность"
[14:32:38] <hedgeven> я буду в сети
[14:32:50] <hedgeven> какию именно доку?
[14:32:55] <hedgeven> какую?
[14:33:07] <Anarchist> Ещё больше в них (доказ по керберосу) радует сходимость и степень проработанности (поверенности практикой).
[14:33:09] <Anarchist> Сейчас.\
[14:33:59] <Anarchist> Как какую? Которая при твоём непосредственном участии должна быть доработана до официального состояния: http://www.gentoo.org/doc/en/ldap-howto.xml
[14:34:30] <Anarchist> Нулевое приближение (базовые элементы без шифрования) я тебе покажу.
[14:34:42] <hedgeven> оффициальной гентушной доки по krb не нашел. а ldap да, по этой доке установить ку меня не получилось, еще долго гуглил
[14:35:09] <Anarchist> Дальше надо раскрыть темы бенчмаркинга (какова цена в части производительности) и генерации сертификатов.
[14:35:34] <Anarchist> Я не удивлён, что не получилось. Ибо дока ещё не допилена.
[14:35:41] <Anarchist> Гугление особо не поможет.
[14:36:31] <Anarchist> Могу выслать мою шапаргалку. Которая, правда, местами хуже (но местаму лучше) гентушной доки. И писана для чужой платформы. Что в нормальном случае способствует вдумчивому чтению.
[14:38:16] <hedgeven> мне beelzeebubie ее давал. мы в одном городе живем. но мы немного в разные стороны смотрим. я в сторону основ, а он в сторону ускорение разворачивания всего этого
[14:38:55] <hedgeven> в общем-то я его на генту и подсадил одной фразой "Use Gentoo, Luke"
[14:39:15] <Anarchist> Понимание матчасти --- это хорошо...
[14:39:33] <Anarchist> Тогда давай так: задача состоит из трёх этапов.
[14:41:25] <Anarchist> 1. Развернуть OpenLDAP. Создать базу пользователей. Проработать темы добавления/изменения регистрационных данных пользователей и конфигурации LDAP'а (на самом деле для случая не единичного сервера, а дерева и выноса Acl'ов в базу LDAP'а --- само по себе песня).
[14:42:15] <hedgeven> ну деревья пока оставим, это только усложнит начальный этап
[14:43:04] <Anarchist> 2. Проработка темы шифрования канала обмена данными между клиентом и сервером LDAP'а: бенчмаркинг, с указанием абсолютных/относительных попугаев, генерация сертификатов и мониторинг оных (срок действия). Возможно имеет смысл отметить DogtagPKI.
[14:43:22] <Anarchist> Да, проработка темы репликации идёт пунктом 1.2
[14:44:08] <Anarchist> 3.: Разбираемся с тем, как п.2 скрещивается с SASL или Kerberos
[14:44:22] <Anarchist> И наконец 4.: скрещиваертся п.2 с Kerberos.
[14:45:41] <hedgeven> вот что пока есть) http://hedgeven.homelinux.org/phpldapadmin юзер cn=admin,dc=home,dc=net пароль secret
[14:46:44] <hedgeven> у меня затык пока с тем как правильнее заполнять эту базу.
[14:47:16] <hedgeven> сразу делить на группы?
[14:47:34] <Anarchist> Ай-яй-яй... ЕМНИП phpldapadmin на нешифрованном канале разрешает только анонимный логин.
[14:47:55] <Anarchist> Ты не беги впереди паровоза.
[14:48:25] <hedgeven> ну пока он разрешает полный админский доступ)
[14:48:31] <Anarchist> Поставь pam/nss_ldap (разницу между /etc/ldap.conf и /etc/openldap/ldap.conf знаешь? ;) ).
[14:48:43] <hedgeven> нет)
[14:48:46] <Anarchist> Значит в Gentoo он так перехачен...
[14:49:15] <Anarchist> Ай-яй-яй. А логи чятика почитать. На днях (на этой неделе) было...
[14:49:54] <Anarchist> Так вот, взяв за основу /etc/ldap.conf определяешься с вопросом: что ты будешь выносить в LDAP.
[14:50:26] <hedgeven> а как их(логи) читать(клиент psi)?)
[14:51:10] <hedgeven> о, спасибо, я и не замечал /etc/ldap.conf
[14:51:44] <Anarchist> http://marsoft.dyndns.info/fortunes-gentoo-ru/index.php
[14:52:14] <Anarchist> Ссылка на календарь, подставляешь название комнаты --- и он тебе подскажет по какому url'у можно читать.
[14:53:18] <Anarchist> Читать, соответственно, любимым браузером.
[14:55:26] <hedgeven> угу, нашел)
[14:57:27] <Anarchist> Теперь ты знаешь разницу? :)
[14:59:38] <hedgeven> да)
[14:59:54] <hedgeven> прочитал про sssd, в портэжах нет
[15:00:28] <hedgeven> и вот еще, для учета трафа рекомендуют sams, но его тоже я не заметил в портэжах
[15:00:41] <hedgeven> для squid
[15:11:18] <hedgeven> ладно, спасибо, трудо выебудни закончились, поеду домой
[15:11:34] hedgeven вышел(а) из комнаты
[15:12:34] <Anarchist> Счастливо. Сегодня вечером возможно буду в Сети. Или завтра...
[16:32:25] Anarchist вышел(а) из комнаты
[19:46:26] anarchist вошёл(а) в комнату
[19:46:50] anarchist вышел(а) из комнаты
[19:47:00] Anarchist вошёл(а) в комнату
[19:47:42] <Anarchist> hedgeven Помимо основной ветки есть разные оверлейчики (включая локальный).
[19:47:53] <Anarchist> sssd искать ЕМНИП в rion'е.
[19:48:38] <Anarchist> Кто/где рекомендует. Если чего-то нет в основной ветке portage, то ИМХО это повод сначала задуматься над вопросом "почему?".
[19:55:25] slepnoga вошёл(а) в комнату
[20:25:05] Anarchist вышел(а) из комнаты
[20:29:00] Anarchist вошёл(а) в комнату
[22:11:20] Anarchist вышел(а) из комнаты
[22:22:58] slepnoga вышел(а) из комнаты: Replaced by new connection
[22:23:08] slepnoga вошёл(а) в комнату
[22:28:50] slepnoga вышел(а) из комнаты