Назад | Перейти на главную страницу

Общая аутентификация во FreeBSD Jails

Я использую FreeBSD с ZFS для запуска нескольких тюрем. Для управления тюрьмой я использую ezjail, и у меня есть шаблон jail, который я использую для подготовки.

Я хочу поделиться информацией о паролях, группах и аутентификации во всех тюрьмах и на хосте. Для тюрем он доступен только для чтения.

Есть ли какой-то механизм, который может совместно использовать пароль хоста, группы и т. Д. Без какой-либо сложной системы, такой как LDAP / NIS / и т. Д.?

LDAP или NIS - правильное решение - это действительно не так сложно, и вам следует потратить день на изучение обоих (выделите примерно полдня на каждый, чтобы получить основы. Меньше, если вы купите O'Reilly Книга шекелей & Книга LDAP.
Большое преимущество в том, что вы можете централизовать некоторые учетные записи (административный доступ / поддержка пользователей), авторизуйте других для каждой тюрьмы и по-прежнему имеете локальных пользователей на определенных машинах.


Если вы действительно категорически против LDAP или NIS, следующий лучший вариант - использовать Puppet, Chef, radmind или что-то подобное для обновления passwd и group files - вы можете автоматически синхронизировать файлы аутентификации / авторизации как часть процесса развертывания на уровне сайта.
У инструментов автоматического развертывания есть свои проблемы со сложностью, но они также имеют ряд преимуществ, которые могут сделать их подходящими для вашей среды.


Следующий шаг - это задание cron в хост-системе, которое копирует стандартные passwd и group файлы в каждую тюрьму в установленное время. Это простейшее решение, которое работает очень хорошо, хотя это лишь очень маленький шаг по сравнению с копированием файлов вручную.

Вы можете попробовать жесткие ссылки (ln(1)).

Если я правильно помню, то ezjail создает множество каталогов и файлов в тюрьме по умолчанию, которые используются в других тюрьмах. Я думаю, вы могли бы добавить туда и пользователей. Может быть, это сначала небольшой анализ, а потом ручная работа.

Но, честно говоря, я думаю, это разрушает вашу безопасность в тюрьмах. Обычно я создаю тюрьму, чтобы изолировать как можно больше.