В сообщении от [Сб 2018-04-14 23:00 +0300] Артём Н. <artio...@yandex.ru> пишет:
> Хочу сделать так, чтобы все сервисы на NAS централизованно получали > данные о пользователях. Решил это реализовать через LDAP. Почитал. > Вроде, теоретически понятно, а практически как-то не очень, бьюсь с > LDAP уже немало. > > - Оправданно ли вообще использование LDAP в таком случае? Рекомендую RADIUS (FreeRADIUS есть в репозитории). Вы очень мало написали о сути проблемы, поэтому поделюсь своим решением, возможно оно и вам поможет. Проблема: дома есть NAS, на котором крутятся сервисы раздачи файлов и мультимедиа по разным протоколам. Для себя и домашних проблем нет, подключаемся и получаем к ним доступ. Но что если пришли гости и просят WiFi, вряд ли вы хотите чтобы они увидели что-то вроде «Жесть. Отжигаю в Турции». Очевидное решение: сделать на роутере два VLAN — домашний и гостевой, и защитить паролем. Однако, пароля будет недостаточно, когда вас не будет дома, бабушка наверняка их перепутает. Поэтому нужен RADIUS, он есть даже в самом дешевом китайском роутере. > - Как настроить его так, чтобы был TLS (в перспективе будет торчать > "наружу") с самоподписанным сертификатом? Да, аутентификация по сертификату есть, если вы купите у своего провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты, можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. Имея белый IP-адрес, вы можете подключить IPv6, например через NAT64 [1]. Вы уже не будете ограничены домашней сетью и сможете давать доступ к своим сервисам на различных VPS исходя из IPv6-адреса. В общем политика безопасности очень простая — получил IP-адрес (любой IPv4 и/или IPv6), значит прошел аутентификацию и можно давать доступ, дальше всё реализуем через файрвол. Если возможностей RADIUS-сервера будет не достаточно, то можно прикрутить к нему LDAP, но это скорее для крупных компаний, для дома это лишнее. [1]: https://blog.kr.pp.ru/post/2017-12-12/ -- Коротаев Руслан https://blog.kr.pp.ru
smime.p7s
Description: S/MIME cryptographic signature
