Linux
使用者認證;PAM 還是半徑?
在大學裡,我是一群學生的一員,他們為學生保持伺服器基礎設施執行。最近我們在伺服器方面遇到了很多麻煩,我們決定最好從頭開始重新安裝所有東西。
目前我們使用 PAM (libpam-mysql) 進行使用者認證。使用者需要能夠使用他們的帳戶通過 SSH、FTP、SMB (Samba)、郵件伺服器、我們的網站,也許將來還可以通過 ownCloud 登錄。大多數使用者管理是通過網站(PHP、MySQL)進行的,使用者也可以在這裡配置他們的託管包(包括虛擬主機)。所有伺服器都執行 Debian。
一位新來者向我指出,如果我們無論如何都要重新安裝所有東西,那麼使用 Radius 而不是 PAM 可能會更好。我本人(相對較新)對這兩種方法都沒有經驗,而且在對此事進行一些研究時,Google被證明是毫無幫助的。
對於我們的案例,而且一般來說,哪個更適合?一個比另一個有什麼大的優勢嗎?
提前致謝。
不使用PAM就很難使用 RADIUS 。PAM 定義了一個用於訪問憑證提供程序(和其他與會話相關的東西)的 API,它可以是通常的文件、NIS、LDAP、RADIUS ……
您正在談論的更改是憑據提供程序。有些地方 PAM 不能去 - 為了處理這些情況,可能值得看看 PAM 是否也支持受支持的憑據提供程序(請注意,在某些情況下,可以將提供程序(例如 CAS)堆疊在LDAP)。此外,PAM 可以使用多個憑證提供程序。
您需要查看您嘗試管理的資產並確定它可以支持哪些提供商,然後考慮在配置、編碼和遷移方面需要付出多少努力。
(IME RADIUS 在網路基礎設施的身份驗證之外從未得到過太多幫助——如果您需要實施 EAP,它可能仍然值得考慮)