मैं सॉफ्टवेयर में देख रहा हूं जो एक उपयोगकर्ता को कई कंप्यूटरों में एकल पहचान प्रदान करता है। अर्थात, प्रत्येक कंप्यूटर पर एक उपयोगकर्ता की एक ही अनुमतियाँ होनी चाहिए, और प्रत्येक कंप्यूटर पर उपयोगकर्ता को उसकी सभी फ़ाइलों (रोमिंग होम डायरेक्ट्री) तक पहुंच होनी चाहिए। इस सामान्य विचार के लिए कई समाधान प्रतीत होते हैं, लेकिन मैं मेरे लिए सबसे अच्छा एक निर्धारित करने की कोशिश कर रहा हूं। आवश्यकताओं के साथ यहां कुछ विवरण दिए गए हैं:
- मशीनों के नेटवर्क अमेज़न ईसी 2 उदाहरण हैं जो उबंटू चल रहे हैं।
- हम एसएसएच के साथ मशीनों का उपयोग करते हैं।
- इस LAN की कुछ मशीनों के अलग-अलग उपयोग हो सकते हैं, लेकिन मैं केवल एक निश्चित उपयोग के लिए मशीनों पर चर्चा कर रहा हूं (बहु-टेनेंसी प्लेटफ़ॉर्म चला रहा है)।
- सिस्टम में आवश्यक रूप से मशीनों की निरंतर मात्रा नहीं होगी।
- हमें चल रही मशीनों की मात्रा को स्थायी या अस्थायी रूप से बदलना पड़ सकता है। यही कारण है कि मैं केंद्रीकृत प्रमाणीकरण / भंडारण में देख रहा हूं।
- इस आशय का कार्यान्वयन एक सुरक्षित होना चाहिए।
- हम अनिश्चित हैं यदि उपयोगकर्ताओं के पास सीधे शेल एक्सेस होगा, लेकिन हमारे सिस्टम पर संभवतः उनका सॉफ़्टवेयर चल रहा होगा (प्रतिबंधित लिनक्स उपयोगकर्ता नामों के तहत), जो कि सीधे शेल एक्सेस के लिए अच्छा है।
- मान लेते हैं कि सुरक्षा के लिए उनका सॉफ़्टवेयर संभावित रूप से दुर्भावनापूर्ण हो सकता है।
मैंने अपने लक्ष्य को प्राप्त करने के लिए कई तकनीकों / संयोजनों के बारे में सुना है, लेकिन मैं प्रत्येक के प्रभावों के बारे में अनिश्चित हूं।
- एक पुराने सर्वरफॉल्ट पोस्ट ने एनएफएस एंड एनआईएस की सिफारिश की, हालांकि इस पुराने लेख के अनुसार सिमेंटेक द्वारा संयोजन में सुरक्षा समस्याएं हैं । लेख एनआईएस + पर जाने का सुझाव देता है, लेकिन, जैसा कि यह पुराना है, इस विकिपीडिया लेख में बयान दिया गया है कि यह सूर्य से एनआईएस + से दूर होने का सुझाव देता है। अनुशंसित प्रतिस्थापन एक और चीज है जिसे मैंने सुना है ...
- एलडीएपी। ऐसा लगता है कि एक नेटवर्क पर केंद्रीकृत स्थान में उपयोगकर्ता जानकारी को बचाने के लिए LDAP का उपयोग किया जा सकता है। एनएफएस को अभी भी 'रोमिंग होम फोल्डर' की आवश्यकता को पूरा करने के लिए उपयोग करने की आवश्यकता होगी, लेकिन मैं उन्हें एक साथ उपयोग किए जाने के संदर्भ देखता हूं। चूंकि सिमेंटेक लेख ने एनआईएस और एनएफएस दोनों में सुरक्षा समस्याओं को इंगित किया है, क्या एनएफएस को बदलने के लिए सॉफ्टवेयर है, या क्या मुझे उस लेख के सुझावों को इसे बंद करने के लिए ध्यान देना चाहिए? मैं LDAP की ओर रुझान कर रहा हूं क्योंकि हमारी वास्तुकला का एक और मौलिक टुकड़ा, RabbitMQ, LDAP के लिए एक प्रमाणीकरण / प्राधिकरण प्लगइन है। RabbitMQ सिस्टम पर उपयोगकर्ताओं के लिए प्रतिबंधित तरीके से सुलभ होगा, इसलिए यदि संभव हो तो मैं सुरक्षा प्रणालियों को एक साथ जोड़ना चाहूंगा।
- केर्बरोस एक और सुरक्षित प्रमाणीकरण प्रोटोकॉल है जिसके बारे में मैंने सुना है। मैंने इसके बारे में कुछ साल पहले एक क्रिप्टोग्राफी क्लास में सीखा था लेकिन इसके बारे में ज्यादा याद नहीं है। मैंने सुझावों को ऑनलाइन देखा है कि इसे एलडीएपी के साथ कई तरीकों से जोड़ा जा सकता है। क्या यह आवश्यक है? Kerberos के बिना LDAP के सुरक्षा जोखिम क्या हैं? मुझे यह भी याद है कि कार्नेगी मेलनॉन यूनिवर्सिटी द्वारा विकसित सॉफ्टवेयर के एक और टुकड़े में इस्तेमाल किया जा रहा है ...
- एंड्रयू फाइल सिस्टम, या एएफएस। OpenAFS उपयोग के लिए उपलब्ध है, हालांकि इसका सेटअप थोड़ा जटिल है। मेरे विश्वविद्यालय में, AFS दोनों आवश्यकताओं को प्रदान करता है ... मैं किसी भी मशीन में लॉग इन कर सकता हूं, और मेरा "AFS फ़ोल्डर" हमेशा उपलब्ध है (कम से कम जब मैं AFS टोकन प्राप्त करता हूं)।
सुझाव के लिए कि मुझे किस मार्ग पर ध्यान देना चाहिए, क्या किसी के पास कोई गाइड है जो विशेष रूप से सहायक थे? जैसा कि बोल्ड टेक्स्ट ने बताया है, LDAP सबसे अच्छा विकल्प है, लेकिन मैं सुरक्षा के संबंध में कार्यान्वयन विवरण (केबर? एनएफएस?) में विशेष रूप से दिलचस्पी रखता हूं।