Centrální autentizace uživatelů v malé síti

Centrální autentizace uživatelů v malé síti
« kdy: 19. 07. 2011, 04:23:36 »
Mam dotaz pro malou sit. Rekneme ze chci mit nejakou volne pristupnou mistnost s dvaceti pocitaci, treba skolni otevrenou ucebnu kam muzou zaci chodit a vyuzivat pocitac.
Treba jenom pro psani ve wordu do zacatku.

Pocitace jsou zapojeny kabely do nejakeho routeru, na kterem bezi  DHCP server a prideluje jednotlivym stanicim lokalni IP adresy site 192.xxx

Nechci aby k pocitacum mohl kdokoliv, kdo jde okolo, ale jen mi zaci.
Mam dveste zaku. Kazdy rok jich dvacet odejde a dvacet novych prijde. Kterykoliv zak muze pouzit kterykoliv pocitac,

Jak se resi autentizce pro pristup na lokalni stanici -to znamena seznam uzivatelu a jejich jmen a hesel obecne?

Pokytuji tuto sluzbu uz lepsi routery, treba nejaky Cisco, nebo je treba mit do site zapojeny nejaky pocitac ktery bude poskytovat sluzbu - sprava uzivatelu , jejich jmen a hesel?

Je pro to dnes nejaka standartizovany obecne uzivany protokol - sluzba? A ta muze byt (obvykle je) implementovana napric hardwarem? Rekneme XML a nejaky sifrovany protokol po siti?

Takze pokud to resi MS sw server (sluzba), pripojenej k routeru tak pouzije svuj sw server pro tu cinnost.
Pokud Linuxovej server tak svuj sw server (sluzbu)
A nebo Cisco primo na routeru tak neco svyho

Ale vsichni pouzivaj v zasade ten samej zpusob ukladani dat stejnej protokol.
Nebo to resi kazdej jinak a kazdej pes jina ves?


Pokud je to stejny jakej je system ukladani dat o uzivatelich a jakej je to protokol?
Je to LDAP?

Diky za vsechny dopovedi.
« Poslední změna: 19. 07. 2011, 09:52:50 od Petr Krčmář »


Re: Centralni autentizace uzivatelu v male siti
« Odpověď #1 kdy: 19. 07. 2011, 06:43:31 »
Sam si trochu odpovim. Takze jsem pochopil ze tohle muze delat MS server a jmenuje se to active directory drive Nt directory.

Active directory je Ms implementace LDAP
Predchudce LDAp byl nejakej X505.

Chapu ze takhle muze slouzit i linuxovej server.

Fajn, ale neni to preci jen velkej Kanon na Vrabce?  Kdyz si vezmu ze tisic uzivatelu se jmeny a hesly se vejde v prostem textu do souboru velkotsi 50 Kb...

Neumi to dneska delat proste nejakej centralni router v siti?

Za druhy jestli to chapu dobre v pripade ze to resi Windows, tak nestaci koupit Win Server, ale k nemu je treba jeste dokoupit 15 licenci (pet je v cene), celkem dvacet.

A to vsechno jenom proto aby to overilo uzivatele...

iq8

Re: Centralni autentizace uzivatelu v male siti
« Odpověď #2 kdy: 19. 07. 2011, 07:27:01 »
Dobrý den,
máte pravdu. V případě že budete na ověřování uživatelů používat active directory je nutné postupovat v souladu s MS licenční politikou. Po pravdě je to docela složitý ;-) jako každý obchodní model od MS. Asi nejlepší bude se zeptat přímo u zdroje viz. http://www.microsoft.com/cze/windowsserver2008/licensing-overview.mspx
Dole na stránce je kontakt. V případě LDAP nebo routeru Vám moc nepomůžu, je ale možné že může poskytnout obdobnou službu jako AD od Mickrosoftu. Možná Vám poradí někdo další.

Hezký den přeje IQ8 8-)

Honza

Re: Centralni autentizace uzivatelu v male siti
« Odpověď #3 kdy: 19. 07. 2011, 07:28:32 »
pGina + MySQL databáze.

Ale raději bych šel do AD pomocí Samby, přece jen ti to nabídne více možností než je obyčejné ověření uživatele a vpuštění do počítače.

Re: Centralni autentizace uzivatelu v male siti
« Odpověď #4 kdy: 19. 07. 2011, 09:26:36 »
Diky obema za odpovedi. Kazdopadne to musi delat "velkej hardware" - cili klasickej pocitac (samba, ad, mysql), nez ze by to bezelo na nejakym arm procesoru primo v routeru.

Hledal jsem i pomoci google a moc routeru ktery by meli primo vestaveny ldap nebo neco podobnyho na me nevypadlo.  Vetsinou je ve specifikaci napsany ze spolupracuje s AD servererem, beo LDAP serverem.


alfi

  • ****
  • 324
    • Zobrazit profil
    • E-mail
Re: Centralni autentizace uzivatelu v male siti
« Odpověď #5 kdy: 19. 07. 2011, 09:42:25 »
Ale raději bych šel do AD pomocí Samby, přece jen ti to nabídne více možností než je obyčejné ověření uživatele a vpuštění do počítače.
tak tak, pokud si poradíš s linuxem, bude AD na sambě relativně jednoduché a zdarma. samba funguje i na routerech s open/dd-wrt, ale nemám zkušenosti, jak moc je to zatěžuje - jestli to ten router utáhne nebo to bude chtít alespoň jedno starší pecko - ale stejně k tomu budeš chtít i nějaký sdílený disk, ne?
(http://www.google.cz/#sclient=psy&hl=cs&source=hp&q=openwrt+samba+pdc&aq=f&aqi=&aql=&oq=&pbx=1&bav=on.2,or.r_gc.r_pw.&fp=2bb62b8f9e063575&biw=1323&bih=786)

RJ45

Re: Centralni autentizace uzivatelu v male siti
« Odpověď #6 kdy: 19. 07. 2011, 09:47:59 »
Zdravicko, mal by som podobny dotaz, ale pre variantu ked na 20 pocitacoch bezi Ubuntu. Existuje nieco na sposob windowsoveho Active Directory pre Linux ? Dakujem za odpoved.

alfi

  • ****
  • 324
    • Zobrazit profil
    • E-mail
Re: Centralni autentizace uzivatelu v male siti
« Odpověď #7 kdy: 19. 07. 2011, 10:06:38 »
Zdravicko, mal by som podobny dotaz, ale pre variantu ked na 20 pocitacoch bezi Ubuntu. Existuje nieco na sposob windowsoveho Active Directory pre Linux ? Dakujem za odpoved.
http://www.google.cz/#sclient=psy&hl=cs&source=hp&q=ldap+pam&aq=f&aqi=&aql=&oq=&pbx=1&bav=on.2,or.r_gc.r_pw.&fp=2bb62b8f9e063575&biw=1323&bih=786
a jsou i jiné backendy, než ldap. ale ten je asi nejčastější

Re: Centrální autentizace uživatelů v malé síti
« Odpověď #8 kdy: 19. 07. 2011, 10:35:43 »
O open/dd-wrt na routerch jsem uz cetl. Mrknu na to.

Zajimalo me to teoreticky, ucim se site a prakticky si to zkousim rozchodit. A ted zkoumam co vlatne tak zasadniho AD poskyuje za sluzby. A prislo mi toho za ty prachy pomerne malo.
Stahnul jsem si 180denni trial Win 2008 a zkusim to rozchodit.

Fungujici sambu na linuxu uz v testovaci siti mam, zatim s jednim sharem a jednim userem "Host"  nastavenou zatim jen pro sdileni disku.

Ta pGina mi prijde zajimava, ciste pro ten ucel, mozna to testnu.

Jen kouma moznosti a standardy. Tak nejak jsem sporivej, a zdalo se mi zbytecny v dobe  sitovejch disku za par korun (neni to enterprise reseni, ja vim)  mit velkej pocitac spustenej 24/7 jenom, aby se mrknul jestli existuje user XYZ a verifikoval heslo.

Mozna by to mohl delat nejakej ten malej NAS me ted napada. Beztak ty boxy s diskama behaj na linuxu.

Gazda

Re: Centrální autentizace uživatelů v malé síti
« Odpověď #9 kdy: 19. 07. 2011, 10:42:01 »
@SmirickyT: aký OS má byť na tých klientských strojoch?

LDAP na Routri: Bežné to nie je, ale s OpenWRT to možné je. Pohľadajte na google napr. openwrt openldap

Pokiaľ na klientských strojoch má byť Windows, na routri/serveri budete potrebovať Sambu. Pohľadajte OpenWRT Samba. Samba vie pracovať s rôznymi backendami pre používateľské účty, napr. aj s LDAP.

Z toho, čo nájdete, si môžete urobiť dojem, či to používa (a s akým úspechom) mnoho ľudí. Pokiaľ sú pre vás siete a protokoly nová vec, a nejde o main-stream riešenie, urobte to radšej inak. Vezmite napr. jeden z tých klientských strojov a urobte z neho server. Dajte tam Linuxovú distribúciu, ktorá je vám najbližšia. Inštalovať a konfigurovať sa vám asi bude pohodlnejšie ako na OpenWRT. Žiaci snáď pochopia, že server musia zapnúť ako prvý.

Re: Centrální autentizace uživatelů v malé síti
« Odpověď #10 kdy: 19. 07. 2011, 10:55:07 »
Jen kouma moznosti a standardy. Tak nejak jsem sporivej, a zdalo se mi zbytecny v dobe  sitovejch disku za par korun (neni to enterprise reseni, ja vim)  mit velkej pocitac spustenej 24/7 jenom, aby se mrknul jestli existuje user XYZ a verifikoval heslo.

Pokud by slo ciste o autentizaci, tak opravdu spesl server je trochu kanon na vrabce. Nebude ale potreba i sdileni home adresaru?* Tj. když si něco uložím na plochu na PC A a potom se přihlásím na PC B, měl bych to pořád na ploše mít. Pokud bych tohle chtěl, je potřeba Windows doména+cestovní profily. Řadič (server) windows domény umí dělat samba. Zároveň je potřeba nějaké úložiště těch sdílených dat - a to bych už na nějaký router nedával, to by asi nebylo výkonově úplně ono... Myslím, že cestovní profily už za samostatný server stojí - zadarmo pak získám např. možnost zálohovat všechna data všech uživatelů na jednom místě apod.

Opět, jak píše Gazda, samba umí různé backendy na ukládání autentizačních dat. Nejlepší poměr námaha/výsledek má podle mě LDAP.

* popr. Windows profilu - jak rika Gazda, to nejdulezitejsi - jaky OS ma byt na stanicich, jsi nam nanapsal. Pokud by mělo jít o Un*xy, pak místo samba/ldap dát nejspíš NFS/ldap.

Gazda

Re: Centrální autentizace uživatelů v malé síti
« Odpověď #11 kdy: 19. 07. 2011, 11:00:52 »
Tak nejak jsem sporivej, a zdalo se mi zbytecny v dobe  sitovejch disku za par korun (neni to enterprise reseni, ja vim)  mit velkej pocitac spustenej 24/7 jenom, aby se mrknul jestli existuje user XYZ a verifikoval heslo.

V sieti s 20 klientskymi stanicami to skôr či neskôr nebude jediná úloha pre server.

Citace
Mozna by to mohl delat nejakej ten malej NAS me ted napada. Beztak ty boxy s diskama behaj na linuxu.

S jedným takým malým NASom mám zlé skúsenosti: bežal na tom nejaký endemický Linux, pre ktorý neexistoval takmer žiadny použiteľný soft. Napr. sshd bola úplná alchýmia. Na integráciu s exitujúcim LDAPom mohol človek hneď zabudnúť. To bolo v roku 2009.

Naopak dobré skúsenosti mám s týmto zariadením: http://www.compactpc.com.tw/ebox-4300.htm Pasívne chladenie a zanedbateľná spotreba a pritom 2.5" EIDE disk a x86 procesor. Kupovali sme ho v apríli 2008 za 234,00 EUR bez disku. Vydržal bežať nepretržite niečo vyše dvoch rokov. Dnes sa asi podobné zariadenia dajú kúpiť ešte lacnejšie.

Re: Centrální autentizace uživatelů v malé síti
« Odpověď #12 kdy: 19. 07. 2011, 11:01:06 »
1) začal bych od toho, kde máš uživatele uložené teď. Máte nějakou evidenci, databázi? Předpokládám že ano.

2) MS AD je zbytečnost, není potřeba kupovat. Dá se použít OpenLDAP

3) Linux se nemusí ověřovat jen proti LDAPu, dá se napojit i na SQL databázi, rovnou na to primární úložiště uživatelů, nebo si napsat vlastní způsob ověřování uživatelů proti čemukoli jinému.

4) Případně jde nasadit „překladač“, který se bude tvářit jako LDAP a bude zprostředkovávat data z SQL databáze.

5) Nějaký výkonnější router by jako autentizační server šel použít, ale přijde mi to dost na hraně, takové křehké řešení. Raději bych použil normální server – klidně virtualizovaný, nebo možná učitelský počítač (ale nesmí ho nikdo vypínat :-)

KapitánRUM

Re: Centrální autentizace uživatelů v malé síti
« Odpověď #13 kdy: 19. 07. 2011, 11:16:57 »
Školy mají velkou slevu, W2008 server vyjde na ~1000,- Kč.
Železo, které zvládne ověřování, může být i poměrně obstarožní.
Můžete se ozvat emailem viz www.profico.cz, podívám se Vám na cenu toho řešení, jak by to šlo úplně nejlevněji.

Lenin POWER!

  • ****
  • 434
  • Nekecat a delat!
    • Zobrazit profil
    • Tribut Leninovi
    • E-mail
Re: Centrální autentizace uživatelů v malé síti
« Odpověď #14 kdy: 19. 07. 2011, 11:51:08 »
Jo taky bych vzal ty widle. Je to vyskousene reseni a casove to vyjde nejrychleji nez cosi patlat na kolene. I kdyz cesi jsou narod kutilu.
Můžete se ozvat emailem viz www.profico.cz, podívám se Vám na cenu toho řešení, jak by to šlo úplně nejlevněji.
kolik mate zamestancu?