RootForum Community

Hallo zusammen,

ich bin dabei, meinen Server auf einer neu angemieteten Kiste neu aufzusetzen. Dabei stelle ich einige meiner früheren Entscheidungen in Frage und schaue, was man "heute" (TM) so alles besser machen kann. Unter anderem wechsle ich wieder zurück zu Debian -- die Gelegenheit zum Umkrempeln ist also günstig.

Meine Frage: Gibt es eine Möglichkeit, einen Satz Zugangsdaten (Login/Passwort) für alle folgenden Dienste zu verwenden?

* SSH
* SMTP
* IMAP/POP
* MySQL
* FTP

Im Prinzip geht es mir um die "Standardfunktionen" eines Internet-Servers. Bisher habe ich die Unix-Systemaccounts verwendet. Jeder Benutzer bekommt sein Home-Verzeichnis, ausgewählte Nutzer können auch per SSH ins System. Einzig bei MySQL gab es immer separate Zugangsdaten.

Ich habe mich jetzt schon mal mit LDAP beschäftigt. Beispiel: http://wiki.debian.org/LDAP/PAM .

Wie sind eure Erfahrungen und wie geht ihr an diese Frage heran?

Danke für eure Zeit!
Claim

LDAP, Nis, eigentlich ist es egal welchen Service Du nutzt.
Eines ist jedoch wichtig, dieser zentrale Logindienst ist dann aber der spof für "alle" weiteren Dienste. Fällt diese Komponenten aus, ist mit dem Rest auch aus.

Ebenfalls spricht dagegen, dass man dann für alle Dienste den gleichen Account nutzt und sich damit ein Erfolgreicher Angriff (Bruteforce Attacke) gleich auf alle Dienste ausweiten lässt.

Ich persönlich nutze unterschiedliche autentifizierungsysteme und verlange auch unterschiedliche Benutzer Passwort Kombinationen.
Wobei ich auf das Passwort weniger Einfluss habe, schon allein wegen dem Datenschutz.

Danke für deinen Kommentar. Von der Seite hatte ich es auch schon mal gesehen, aber den Punkt irgendwie verdrängt. Werde ich berücksichtigen.

Gibt es Erfahrungen mit MySQL? Das war bei mir bisher immer der Knackpunkt, der ohnehin separate Accounts erforderte. Mein letzter Stand ist, dass die kostenpflichtige Enterprise-MySQL-Server jetzt eine LDAP-Auth-Brücke mitbringt.

Einen MySQL-User muss man dafür aber immernoch anlegen, so dass lediglich das Passwort per LDAP verwaltet wird. Hilft Dir also nicht sehr viel weiter.
https://dev.mysql.com/doc/refman/5.5/en ... lugin.html

MySQL wie gehabt und den Rest per LDAP wäre daher mein Vorschlag.


LDAP sollte dann aber auf einem dedizierten System laufen, so wie man es normalerweise auch mit Windows Active Directory machen sollte.
Regelmässige Backups sind für LDAP Pflicht, eine zusätzliche Replikation empfohlen.

Ich würde prinzipiell trennen zwischen System und Diensten. Dienste und Webanwendungen (bis auf MySQL, aber da gibt's ja Alternativen ) lassen sich wunderbar über ein zentrales Backend wie LDAP abfackeln, ggf. über eine Zwischenschicht wie Kerberos und/oder GSSAPI.

Von PAM oder dem OpenSSH LDAP-Patch für den Shell-Zugang würde ich allerdings aus mehrerlei Gründen die Finger lassen:

• Ein Shell-Account eröffnet Zugang zum Herzen des Systems und wird nur für administrative Arbeiten benötigt
• OpenLDAP z. B. ist sehr empfindlich gegen unsachgemäßes Herunterfahren (dank BDB-Backend). Hängt der Shell-Zugang hieran, bleibt man schnell mal ausgesperrt.
• Starke Authentifizierungsverfahren wie OpenSSH PubKey sind mit LDAP nur über Kopf- und Handstände umsetzbar.

Konzeptionell würde ich daher auf einem "typischen" Web-Server folgendermaßen vorgehen:

• SSH zur Administration mit "normalem" Systemuser und Public Key Authentication
• SSH für Uploads (SFTP, optional, als paranoide FTP-Ersatz): Separate SSH-Instanz, chroot-ed oder im Jail mit Patch für OpenLDAP PubKey Authentication
• Dovecot Auth wird an's LDAP-Backend gehängt; Postfach-berechtigte User nutzen entsprechend ihre Standard-Credentials
• FTP kann ebenfalls ohne PAM an LDAP angehängt werden, wenn ProFTPD oder PureFTPd verwendet werden
• PostgreSQL kann bei Bedarf ebenfalls über LDAP laufen; für eine echte SSO-Lösung braucht man hier aber GSSAPI (ab 9.0) oder Kerberos (für 8.x)

Ebenfalls LDAP-tauglich sind Subversion und Mercurial; für Git greift man besser auf Gitolite o. ä. zurück. Webanwendungen wie Trac, Redmine, Serendipity, Plone, ... können ebenfalls gegen LDAP authentifizieren.