| 1 |
Am Samstag, 24. Juni 2006 15:20 schrieb ext Fabian Steiner: |
| 2 |
|
| 3 |
> Im Rahmen einiger Neuerungen wollen wir zukünftig eine mehr oder weniger |
| 4 |
> standardisierte Lösung einsetzen, wobei uns insbesondere OpenLDAP |
| 5 |
> anspricht. Nun suchen wir jedoch einen "sicheren" Ersatz für NFS und |
| 6 |
> dies ist der Punkt, wo ihr ins Spiel kommt ;-) |
| 7 |
|
| 8 |
Wie andere schon schrieben: OpenAFS + Kerberos. |
| 9 |
|
| 10 |
> Dabei sollen vor allem folgende Punkte sichergestellt werden: |
| 11 |
> -> es soll eine Authentifizierung der Maschine stattfinden, d.h. darf |
| 12 |
> der jeweilige Rechner sich überhaupt in das Schulnetz einhängen |
| 13 |
|
| 14 |
Kann man verhindern, daß ein fremder Rechner in ein Netz eingehängt wird? |
| 15 |
man kann es zumindest erschweren: |
| 16 |
|
| 17 |
1) Feste, MAC gebundene IP-Adressen per DHCP vergeben. |
| 18 |
2) AFS benutzt ACLs zur Zugriffskontrolle, diese können auch IP Adressen |
| 19 |
beinhalten. |
| 20 |
3) Eventuell geht noch was bei OpenLDAP und/oder Kerberos. |
| 21 |
|
| 22 |
> -> wenn möglich, sollte nur bei Bedarf etwas gemountet werden, d.h. |
| 23 |
> meldet sich Schüler XYZ an, soll das Homeverzeichnis von XYZ gemountet |
| 24 |
> werden |
| 25 |
|
| 26 |
Das Problem gibts bei AFS nicht, die Clients bekommen nur /afs, und das |
| 27 |
komplett. |
| 28 |
|
| 29 |
> -> lokaler root sollte keinen Zugriff bzw. kaum Rechte auf den Export |
| 30 |
> haben (ähnlich wie bei NFS: root_squash/no_root_squash) |
| 31 |
|
| 32 |
AFS hat 'nen eigenen Administrator. |
| 33 |
|
| 34 |
> Wir haben uns natürlich schon etwas informiert, sind jedoch nur auf |
| 35 |
> OpenAFS gestoßen, was ansich zwar nett aussieht, aber auch viele |
| 36 |
> zusätzliche Baustellen mit ins Boot zieht (Kerberos, etc.), was wir |
| 37 |
> eigentlich vermeiden möchten. |
| 38 |
|
| 39 |
Kerberos ist so schlimm nicht. Was hier noch fehlt ist NTP. |
| 40 |
|
| 41 |
Bye... |
| 42 |
|
| 43 |
Dirk |
| 44 |
-- |
| 45 |
Dirk Heinrichs | Tel: +49 (0)162 234 3408 |
| 46 |
Configuration Manager | Fax: +49 (0)211 47068 111 |
| 47 |
Capgemini Deutschland | Mail: dirk.heinrichs@×××××××××.com |
| 48 |
Hambornerstraße 55 | Web: http://www.capgemini.com |
| 49 |
D-40472 Düsseldorf | ICQ#: 110037733 |
| 50 |
GPG Public Key C2E467BB | Keyserver: www.keyserver.net |
Archives