Я пытаюсь найти самый простой / лучший способ управлять несколькими пользователями (четыре, прямо сейчас) и авторизоваться для нескольких приложений на моем сервере Fedora прямо сейчас. Я бы хотел быть там один пароль для каждого пользователя для всех этих систем, и авторизация не требует особой детализации.
Системы, с которыми я работаю, и некоторые примеры того, как я хотел бы использовать auth:
Будет ли LDAP (с которым я никогда не работал) лучшим выбором для этого?
LDAP
SSH - хороший вариант, но если вы хотите реализовать какие-либо дополнительные службы, которые зависят от централизованной аутентификации, я бы посоветовал вам взглянуть на какую-то реализацию LDAP, например OpenLDAP. Он очень популярен и может быть интегрирован во все упомянутые выше службы. Кроме того, легко добавлять новых пользователей и делать их доступными везде, где они вам нужны, если все, что вам нужно для их интеграции, имеет плагин LDAP. Добавьте безопасность SSL / TLS (возможно, но не обязательно), и все готово.
LDAP - определенно лучший способ. Крутая кривая обучения, как я на самом деле только что испытал, но после того, как вы ее преодолеете, она отлично работает.
LDAP - определенно лучший способ.
Apache и SVN, вероятно, самое простое место для начала. Посмотри на это руководство.
Когда у вас все получится, не должно быть слишком сложно: http://trac-hacks.org/wiki/LdapPlugin
SSH немного сложнее (и более катастрофичен, если вы его неправильно сконфигурируете). Вам необходимо настроить подключаемый модуль аутентификации (PAM) в вашей ОС, а затем указать ему конфигурацию SSH. В этом руководстве показано, как: http://directory.fedoraproject.org/wiki/Howto:PAM.
LDAP должен работать для всех из них, или PAM и, следовательно, LDAP, но вы также можете подумать о RADIUS. Ключевое отличие заключается в том, что Radius будет прокси-сервером на сторонний сервер, поэтому вы можете добавить двухфакторную аутентификацию в будущем. Кроме того, радиус намного проще. Вы даже можете настроить авторизацию с SSH на Linux на AD с помощью плагина MS Radius. После этого HR может управлять пользователями. То же самое, конечно, для freeradius / openldap. (не то чтобы это звучало как требование .;)
Вот инструкция по использованию apache и mod radius: http://www.wikidsystems.com/support/wikid-support-center/how-to/two-factor-authentication-for-apache-2.2-or-higher
Вот тот, который использует apache * ldap для автоматического сканера, но вы понимаете: http://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-add-two-factor-authentication-to-the-seccubus-automated-vulnerability-scanner
Вот как это сделать по ssh и pam-radius: http://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-secure-ssh-with-two-factor-authentication-from-wikid. Просто игнорируйте биты двухфакторной аутентификации.
По сути, любая другая служба, такая как SVN, вы хотите использовать PAM, и pam обрабатывает аутентификацию через ldap, radius или локальные учетные записи.
HTH
Посмотри на Бесплатный IPA для красивого набора оболочек / UI для задач нижнего уровня управления пользователями.
Почему бы вам просто не использовать SSH?
Apache, Subversion и trac могут жить в небольшой частной сети, доступ к которой возможен только с помощью ssh'ing на сервере на передней панели, который выполняет аутентификацию. Оттуда пользователи могли открывать перенаправления на другие три службы.