sprava hesel ve velkem

[Martin Mares]

Zdravim,

>    Take mi to pripada jen s obtizemi (a s bezpecnostnimi riziky, ze nekdo 
> bude mit nekde jiny uid nez predpokladate jinde) ukocirovatelne. Myslel 
> jsem, jestli neni neco takoveho jako kombinace NIS a ssh - hesla na jednom 
> serveru, na kterem bezi nejaky autentizacni demon, uzivatel prijde na 
> pocitac v ucebne, nabootuje do Linuxu a pri prihlasovani si program login 
> neoveruje hesla v lokalnich souborech, ale pres toho autentizacniho demona
> (s kryptovanym prenosem, tj. ani zakryptovana hesla by se neprenasela
> v plain textu). Soubory /etc/{passwd,group} (bez hesel) by se kvuli dalsim 
> informacim mohly na stanici kopirovat ze serveru traba pres ssh.

   Ja jsem sveho casu takovy system napsal -- viz ftp://atrey.karlin.mff.cuni.cz/pub/local/suas-040397.tar.gz.

   Vyhody:	Bezpecny protokol (challenge/response autentikace)
		Je schopen se domluvit s NFS-daemonem a uznavat pouze ty uzivatele,
		   kteri se uspesne autentikovali a dosud neodlogovali.

   Nevyhody:	Nepodporuje zmeny hesla po siti, nutno pres ssh na server
		Dokumentace minimalni, ba skoro zadna (na druhou stranu, jsem
		   k dispozici pro pripadne dotazy :-))
		Autorizaci pres tento server jsem zatim dodelal pouze do loginu
		   a sshd, pro ostatni programy to ovsem neni problem, jakoz ani
		   neni problem napsat pro to PAM modul.

				Have a nice fortnight
-- 
Martin `MJ' Mares   <mj na ucw.cz>   http://atrey.karlin.mff.cuni.cz/~mj/
Faculty of Math and Physics, Charles University, Prague, Czech Rep., Earth
"Linux hackers are funny people -- they count the time in patchlevels."