BR-Linux 5.0

« Artigo sobre a nova versão do XFce | Main | Instalando um sistema Debian completo em 20 minutos »

quinta-feira, 25 de novembro de 2004

Como configurar um quiosque com autenticação LDAP

Clovis Sena (csena2k2@fisepe.pe.gov.br) enviou este link e acrescentou: "Acabo de ver no www.osnews.com um excelente artigo explicando como configurar um kiosk ... (Ler na íntegra)

Publicado por brain às 19:34

Comentários dos leitores

(Termos de Uso)

» Comentário de Luciano () em 25/11 20:05

Nao entendo como as pessoas usam NFS sem a menor preocupação. Na verdade até então nao temos nada que substitua isso ne? Pelo que vi até a novell usa esse treco ai... eu uso tambem :)

Po tem que ter outra saida... só nao vale usar samba para exportar os homes.

» Comentário de Manoel Pinho () em 25/11 21:00

Luciano,

Há outras alternativas mais poderosas e multiplataforma, mas são pouco conhecidas aqui no Brasil.

Já vi várias universidades americanas usando o OpenAFS (http://www.openafs.org/) em seus campus.

Estou querendo fazer uns testes para implantar ele na minha faculdade mas ainda não tive tempo.

» Comentário de Luciano () em 25/11 21:30

Muito complicado de configurar o openafs

» Comentário de Luciano () em 25/11 21:34

Pra uma rede local de um laboratorio não é muito trabalho não?

Pra que ele serve em na verdade? Vi um tal de intermezzo que parecia ser legal, mas po pelo que entendi ele só sincroniza o uma pasta na maquina cliente com o servidor, então voce precisaria de ter um home do mesmo tamanho que tem o do servidor, bem foi isso que eu entendi.

» Comentário de zé do caixão () em 26/11 02:06

Já que falaram de NFS, alguém aqui está usando alguma versão segura dele?

Por exemplo, imaginem se no servidor eu exportar algo do tipo /home para centralizar todos os /home das estações em um servidor central. Vamos dizer também que uso openldap para centralizar minha base de usuários, e cada usuário tem seu uid próprio.

Agora se eu chegar nessa rede com meu notebook, e resolver montar o /home do servidor. Crio um usuário qualquer, coloco o uid que desejar, e pronto, posso acesar qualquer arquivo de qualquer usuário, bastanto trocar o UID, porque o NFS clássico não faz _nenhuma_ verificação de usuário.

NFS é realmente muito inseguro. O fedora core 2 parece implementar nfs com autenticação kerberos, mas não cheguei a testar.

E vocês como estão fazendo? Ou estão vulneráveis?

» Comentário de Luciano () em 26/11 08:11

Eu estou vulneravel :)

» Comentário de Luciano () em 26/11 08:23

O zé deixa seu e-mail ai pra gente poder estudar e discutir uma alternativa a esse "poblema" (poblema é um problema serissimo).
O meu é luciano@labtel.ele.ufes.br

» Comentário de Marcone () em 26/11 11:09

Pessoal, verifiquem em www.ldap.org.br, e estudem o automount para montagem automatica. Abraco.

» Comentário de Luciano () em 26/11 12:07

Dei uma procurada rapida e nao achei nada, o que seria o automount? Ele auto monta um home NFS? Se for isso da na mesma

» Comentário de RSM () em 26/11 12:37

Luciano,o automount (que no Suse é configurado pelo serviço autofs) não acrescenta em nada em relação a segurança. É apenas um "facilitador" para montar automaticamente (sobre demanda) um diretorio exportado pelo servidor nfs... Daí não precisa usar o fstab para montagem.

Sobre a questão de estudar mais sobre essa questão do nfs e ldap, eu me tb interesso...

» Comentário de RSM () em 26/11 12:42

em tempo: o automount pode montar automaticamente não só diretórios exportados pelo servidor nfs mas também vários outros sistema de arquivos ou dispositivos (desde que suportados por ele, claro)

» Comentário de Andretti () em 26/11 14:30

Pessoal,

Me interesso também pela discussão. Meu email: andretti (em) digizap.com.br

» Comentário de zé do caixão () em 26/11 14:40

Luciano,

O problema de segurança do NFS é de design :-(

Sugiro fortemente usar alguma alternativa, como o SMB com samba, até que alguma forma segura de NFS esteja difundida.

» Comentário de Luciano () em 26/11 15:21

Vamos criar uma lista temporaria para essa discussão? O que voces acham?

» Comentário de Andretti () em 26/11 20:40

A idéia da lista acho interessante.

» Comentário de Andre Magoo () em 28/11 02:58

Atualmente tenho usado o conjunto OpenLDAP+SAMBA. Para montagem automátic ao pam_mount. Tem funcionado bem... Sinceramente nunca fiz uma análise séria a respeito da seguranća desta solucão, visto que geralmente uso em redes locais.

» Comentário de Carlos Eduardo Pedroza Santiviago () em 28/11 16:41

NFSv4.

» Comentário de Luciano () em 28/11 18:27

Já pensei em pam_mount+samba+openldap mas tem dois problemas nisso...

A minha base de usuarios é apenas de posixAccount então eu teria de chamar ususario por ususario para eles recadastrassem a senha para pode gerar os campos do samba no LDAP.

Segundo é que o samba até o teste que fiz não suporta os links simbolicos, isso faz com que não seja possivel montar o /home/usuario remoto
no /home/usuario local pois o KDE e Gnome criam links simbolicos na conta do usuario apontando o /tmp ai esses ambientes não funcionam, então o home do usuario tem que ser montado num subdiretorio dentro do home do usuario ex: /home/usuario/compartilhamento_samba

O NFSv4 mesmo estando na faze experimental já está usavel e confiavel no ponto de vista de nao corromper os dados?

Eu pensei em usar o servidor MARS (implementação no linux do servidor de arquivos novell) e montar o diretorio no login com o pam_mount

Isso funcionaria? Alguem já fez isso?

» Comentário de Marco Sinhoreli () em 29/11 15:01

Olá pessoal,

Lí a discussão e achei interessante. Eu estava estudando a solução opengfs mas ainda não está muito bem documentada e adiei. Sobre o OpenAFS o que pegou foi o kerberos (acho que eh a parte mais dificil da configuração do OpenAFS). Atualmente meu diretorio de usuários esta em NIS (arg) e estou planejando migrar para OpenLDAP. Consegui configurar mas não deu muito certo a autenticação pelo pam.d/gdm (q eh o cara q uso para os usuarios se logarem). Achei interessante a questão sobre autofs. Bom, pra concluir, quero participar desta lista q vc's estão pensando em criara pra eventualmente poder dar/receber contribuições.

[]s

» Comentário de Luiz () em 03/12 09:21

Olá Pessoal
Também tenho um ambiente que trabalha em "modo inseguro", usando NIS+NFS, e tive que enjambrar com o SAMBA, da mesma forma que o Luciano (problema dos links simbólicos).
A cerca de um ano (ou por aí), testei o NFSv4 num laboratório, com 35 máquinas, mas tive problemas de corrupção de dados (modificações em arquivos não eram feitas no servidor e não acontecia sequer um aviso ao usuário). Não tive muito tempo para ver o problema nem sequer pesquisar características da nova versão, então não descarto erro de configuração.
Uma coisa que me chamou atenção outro dia, lendo os changelogs do SAMBA, é que a versão 3.0.5 ou 3.0.6 incluiu suporte a symlinks do CIFS. Eu ainda não tenho como instalar estas versões por aqui, mas alguém chegou a testar se isso também não resolve o problema dos symlinks dos ambientes gráficos? Numa dessas vem de brinde... :-)
Quanto à questão da lista de discussão (ou talvez um forum?), eu também gostei da idéia e gostaria de participar. Alguém chegou a criar? Se sim, por favor enviem as coordenadas. Senão, caso estejamos todos um esperando pelo outro, creio que seria interessante que o Luciano a criasse, já que foi o "iniciador" da discussão. :-)
[]´s

O formulário de comentários está desativado devido à mudança de sistema de gerenciamento de conteúdo.