В колледже я являюсь частью группы студентов, которые обеспечивают работу серверной инфраструктуры для студентов. В последнее время у нас было много проблем с серверами, и мы решили, что, наверное, лучше начать с нуля и все переустановить.
В настоящее время мы используем PAM (libpam-mysql) для аутентификации пользователей. Пользователи должны иметь возможность использовать свои учетные записи для входа через SSH, FTP, SMB (Samba), почтовые серверы, наш веб-сайт и, возможно, в будущем также ownCloud. Большая часть управления пользователями происходит через веб-сайт (PHP, MySQL), где пользователи также могут настраивать свои пакеты хостинга (включая vhosts). На всех серверах работает Debian.
Один из новичков указал мне, что если мы все равно собираемся все переустановить, вероятно, лучше использовать Radius вместо PAM. Я сам (будучи относительно новичком) не сталкивался ни с одним из них, и Google оказался на удивление бесполезным при проведении некоторых исследований по этому поводу.
Что больше подходит для нашего случая использования, но также и в целом? Есть ли у одного большие преимущества перед другим?
Заранее спасибо.
Было бы очень сложно использовать RADIUS без использования PAM. PAM определяет API для доступа к поставщикам учетных данных (и другим материалам, связанным с сеансом), которые могут быть обычными файлами, NIS, LDAP, RADIUS ....
Вы говорите об изменении поставщика учетных данных. Есть места, куда PAM не может попасть - и для обработки этих случаев, возможно, стоит посмотреть, поддерживаются ли поддерживаемые провайдеры учетных данных в PAM (и обратите внимание, что в некоторых случаях возможно объединить провайдеров, например, CAS поверх LDAP). Кроме того, PAM может использовать несколько поставщиков учетных данных.
Вам нужно посмотреть на имущество, которым вы пытаетесь управлять, и определить, каких поставщиков оно может поддерживать, а затем подумать о том, сколько усилий требуется для настройки, кодирования и миграции.
(IME RADIUS никогда не выходил за рамки аутентификации для сетевой инфраструктуры - вероятно, все же стоит подумать, если вам нужно реализовать EAP)