1 |
Am Samstag, 24. Juni 2006 15:20 schrieb ext Fabian Steiner: |
2 |
|
3 |
> Im Rahmen einiger Neuerungen wollen wir zukünftig eine mehr oder weniger |
4 |
> standardisierte Lösung einsetzen, wobei uns insbesondere OpenLDAP |
5 |
> anspricht. Nun suchen wir jedoch einen "sicheren" Ersatz für NFS und |
6 |
> dies ist der Punkt, wo ihr ins Spiel kommt ;-) |
7 |
|
8 |
Wie andere schon schrieben: OpenAFS + Kerberos. |
9 |
|
10 |
> Dabei sollen vor allem folgende Punkte sichergestellt werden: |
11 |
> -> es soll eine Authentifizierung der Maschine stattfinden, d.h. darf |
12 |
> der jeweilige Rechner sich überhaupt in das Schulnetz einhängen |
13 |
|
14 |
Kann man verhindern, daß ein fremder Rechner in ein Netz eingehängt wird? |
15 |
man kann es zumindest erschweren: |
16 |
|
17 |
1) Feste, MAC gebundene IP-Adressen per DHCP vergeben. |
18 |
2) AFS benutzt ACLs zur Zugriffskontrolle, diese können auch IP Adressen |
19 |
beinhalten. |
20 |
3) Eventuell geht noch was bei OpenLDAP und/oder Kerberos. |
21 |
|
22 |
> -> wenn möglich, sollte nur bei Bedarf etwas gemountet werden, d.h. |
23 |
> meldet sich Schüler XYZ an, soll das Homeverzeichnis von XYZ gemountet |
24 |
> werden |
25 |
|
26 |
Das Problem gibts bei AFS nicht, die Clients bekommen nur /afs, und das |
27 |
komplett. |
28 |
|
29 |
> -> lokaler root sollte keinen Zugriff bzw. kaum Rechte auf den Export |
30 |
> haben (ähnlich wie bei NFS: root_squash/no_root_squash) |
31 |
|
32 |
AFS hat 'nen eigenen Administrator. |
33 |
|
34 |
> Wir haben uns natürlich schon etwas informiert, sind jedoch nur auf |
35 |
> OpenAFS gestoßen, was ansich zwar nett aussieht, aber auch viele |
36 |
> zusätzliche Baustellen mit ins Boot zieht (Kerberos, etc.), was wir |
37 |
> eigentlich vermeiden möchten. |
38 |
|
39 |
Kerberos ist so schlimm nicht. Was hier noch fehlt ist NTP. |
40 |
|
41 |
Bye... |
42 |
|
43 |
Dirk |
44 |
-- |
45 |
Dirk Heinrichs | Tel: +49 (0)162 234 3408 |
46 |
Configuration Manager | Fax: +49 (0)211 47068 111 |
47 |
Capgemini Deutschland | Mail: dirk.heinrichs@×××××××××.com |
48 |
Hambornerstraße 55 | Web: http://www.capgemini.com |
49 |
D-40472 Düsseldorf | ICQ#: 110037733 |
50 |
GPG Public Key C2E467BB | Keyserver: www.keyserver.net |