在大学里,我和一群学生一起维护服务器基础设施。最近,我们的服务器出现了许多问题,我们决定最好从头开始,重新安装所有东西。
目前我们使用 PAM (libpam-mysql) 进行用户身份验证。用户需要能够使用他们的帐户通过 SSH、FTP、SMB (Samba)、邮件服务器、我们的网站以及将来可能还会通过 ownCloud 登录。大多数用户管理都是通过网站 (PHP、MySQL) 进行的,用户也可以在网站上配置他们的托管包(包括 vhosts)。所有服务器都运行 Debian。
一位新人向我指出,如果我们无论如何都要重新安装所有东西,那么最好使用 Radius 而不是 PAM。我自己(相对较新)对这两款软件都没有经验,而且在对此事进行一些研究时,Google 出人意料地没有提供帮助。
就我们的用例而言,但总体而言,哪个更适合?其中一个比另一个有什么大的优势吗?
提前致谢。
答案1
如果不使用聚丙烯酰胺. PAM 定义了用于访问凭证提供者(和其他会话相关内容)的 API,这些 API 可以是常见的文件、NIS、LDAP、RADIUS……
您谈论的更改部分是凭据提供程序。有些地方 PAM 无法到达 - 为了处理这些情况,可能值得查看受支持的凭据提供程序是否也受 PAM 支持(请注意,在某些情况下,可以在 LDAP 之上堆叠提供程序,例如 CAS)。此外,PAM 可以使用多个凭据提供程序。
您需要查看您要管理的资产并确定它可以支持哪些提供商,然后考虑配置、编码和迁移需要付出多少努力。
(IME RADIUS 从未超越网络基础设施的身份验证 - 如果您需要实施 EAP,它可能仍然值得考虑)