Необходимо держать на одном сервере БД с всеми теми данными, которые обычно хранятся в /etc/passwd (в сети исключительно линуксовые хосты). Возможно ли это сделать только при помощи Kerberos или для хранения чего либо кроме логина и хэша пароля нужен LDAP?
/etc/passwd
>>207569Kerberos, насколько мне известно, не умеет хранить все нужное и я не слышал, чтобы был NSS-модуль, реализующий хранение каталога пользователей на Kerberos-сервере.Если задача в том, чтобы хранить только пользователей и только для линуксовых машин, то в принципе можно и без LDAP выкрутиться. Полно ведь всяких других модулей для NSS и PAM, которые и в базы данных умеют лазить, и через HTTP-запросы каталог получать, и все такое.LDAP хорош лишь тогда, когда нужно обеспечить стандартизованное взаимодействие между кучей различных систем и продуктов.
>>207569Kerberos, насколько мне известно, не умеет хранить все нужное и я не слышал, чтобы был NSS-модуль, реализующий хранение каталога пользователей на Kerberos-сервере.
Если задача в том, чтобы хранить только пользователей и только для линуксовых машин, то в принципе можно и без LDAP выкрутиться. Полно ведь всяких других модулей для NSS и PAM, которые и в базы данных умеют лазить, и через HTTP-запросы каталог получать, и все такое.
LDAP хорош лишь тогда, когда нужно обеспечить стандартизованное взаимодействие между кучей различных систем и продуктов.
>>207570Спасибо. Скорее всего, лучше именно LDAP, т.к. к нему будут привязываться и различные сервисы вроде Gitlab, Jenkins и прочего.Посмотрю 389DS, в Apache DS в схеме NIS в классах не все атрибуты, а OpenLDAP настраивать долго.Ещё бы найти, как грамотно создать лес.
Настроил LDAP (как оказалось, это не настолько страшно, хотя да, в 389DS всё настраивается скриптом и работает практически из коробки) и авторизацию на хостах, правда, пришлось пару дней повозиться с установкой сертификатов (с несекьюрным подключением пользователи не могут менять свои пароли просто через passwd).В любом случае, это меня разгрузило от реквестов вроде "добавь меня на <hostname>/<servicename>" и "я забыл пароль от компа/удалённого сервера/гита/дженкинса".
passwd
- wakaba + futaba + futallaby -