Autenticacion unificada

[Germán Poó Caamaño]

El jue, 22-04-2004 a las 21:24, +0200, Jhamil Mercado escribió:
> Se me planteo el siguiente problema:
> 1. Como proveer un sistema unico de autentificacion,
> de tal forma que el usuario desde su:
> * autenticacion en el servidor (samba)
> * tranferencia de archivos(FTP)
> * correo electronico
> * mensajeria instantanea(jabber)
> * uso de internet (control del proxy por constraseña)
> * y acceso a otros servidores de la red (ssh)
> 
> pueda hacerlo con solo una cuenta y una contraseña (si
> desea cambiarla, se cambie la misma en todos los
> servicios de forma automatica).

Manejas las cuentas en LDAP y usas PAM (pam_ldap) para
autenticar a los hosts.

> 2. Proveer una interfaz web que permita el cambio de
> contraseñas.

Eso lo puedes crear tu, ya que se trata de cambiar un
atributo LDAP.

> 3. Cuando se desee crear un nuevo usuario se pueda
> seleccionar que servicios estaran disponibles para el
> mismo y que servicios no. De la misma forma poder
> habilitar o inhabilitar algunos servicios en cualquier
> momento.

Puedes definir atributos extras en LDAP, con los cuales
filtrar en cada servcio/estacion.

> He podido averiguar que se puede hacer mediante una BD
> en este caso MySQL contra todos estos servicios,
> tambien con LDAP contra todos estos servicios.
> 
> En el caso de una DB, supongo que esta deberia contar
> con una base con todos los datos del usuario para los
> diferentes servicios. En este caso la interfaz web
> estaria bajo PHP supongo.

La interfaz da lo mismo en que este hecho.  Podria
serlo hasta en shell.

> Cual es la solucion mas conveniente? o existe otras?
> la restriccion es que incluya todos los servicios.

Depende del soporte que tenga cada servicio con 
LDAP (si es que usas LDAP).  Aunque es mucho mas
probable, IMHO, que eso ocurra en vez de soporte
para autenticacion con determinada DB.

Sin embargo, si el servicio usa PAM, entonces 
tambien puedes usarlo como mecanismo.

-- 
Germán Poó Caamaño
http://www.ubiobio.cl/~gpoo/