中央身份验证和带缓存的 /home 存储

中央身份验证和带缓存的 /home 存储

我想将我杂乱无章的家庭网络(Windows / Mac 客户端混合)迁移到 Linux 上。所有机器都将迁移到 Linux。

在我踏上这段(肯定很有趣的)旅程之前,这是我的愿望清单:

  1. 中央身份验证(相信 LDAP 是最佳选择)
  2. 为用户提供中央配置文件存储,因此可以从任何登录的机器访问所有文件
  3. LDAP 是否有助于某种形式的信任管理,即用户可以在每台机器上运行 sudo,还是我需要手动更新每台机器的 sudoers 文件?

人们认为什么是实现上述目标的最佳方法,请记住以下我需要的“交易破坏者”:

  1. 笔记本电脑在外出时必须能够进行身份验证(即无法访问 LDAP/auth 服务器)
  2. 机器必须缓存用户主目录,如上所述,以便在未连接到网络时可用

本质上我所追求的相当于具有漫游配置文件的 Windows 域。

如果有人能告诉我是在虚拟机中运行 Visual Studio 还是通过 RemoteApp 运行 Visual Studio 会更好(即在类似硬件的情况下运行速度会更快),我将获得加分。

另外 - 我对 Debian 和 Ubuntu 最有经验,但我愿意听取大家的建议 - 我应该使用什么服务器操作系统?客户端将是 Ubuntu。

提前感谢大家的帮助。

答案1

LDAP 适合此设置。

缓存身份验证

固态存储系统是 pam-ldap 和 nss-ldap 的替代方案,用于缓存密码以供离线使用。但它对存储在 LDAP 中的 autofs 映射没有任何作用。如果您只有一个包含所有主目录的文件服务器,则可以使用 autofs 通配符映射而不必担心它。

缓存的主目录

Linux 上并没有像 OS X 那样针对此问题的真正交钥匙解决方案。策略是在网络上挂载 nfs 主目录并使用 rsync 定期同步主目录。

農姆看起来像是一个很有前途的交钥匙解决方案,但我不知道它有多稳定。

信托管理

在 Ubuntu 中,有一个 sudo-ldap 包可让您将 sudo 配置放入 LDAP。没有任何东西会缓存此文件,因此您最好使用配置管理系统分发 sudoers 文件。

答案2

您可以使用类似以下方法,而不是依赖集中式身份验证(通常也假设存在持久连接):木偶将一组用户、密码等复制到每个托管主机。这种方法可以允许断开连接的操作,可以分发影子密码文件、sudoers 文件、SSH 公钥和任何网络安装定义……或者实际上是您希望共享的任何配置/数据。

甚至可能包含类似Git作为以断开连接的方式同步文件的一种手段。

我个人使用 LDAP、Kerberos、集中式“配置文件”存储和漫游主目录的经历非常艰苦、容易出错且耗时。虽然理论上可以通过这些组件实现大部分要求,但它们的实践比在家庭网络上管理的要复杂得多。我完全同意 @mattdm 的观点。

答案3

听起来像 AFS (Andrew File System) 之类的东西可以满足您的需求。它支持客户端缓存部分,并使用 kerberos 进行身份验证。

对于身份验证来说,这会带来问题。我不知道有任何身份验证系统支持离线身份验证。不过,你可以作弊,在任何地方执行类似镜像 /etc/shadow 的操作。

相关内容