Centralne metody uwierzytelniania / autoryzacji w systemie Linux

Mam małą, ale rosnącą sieć serwerów Linux. Idealnie chciałbym mieć centralne miejsce do kontrolowania dostępu użytkowników, zmiany haseł itp. Dużo czytałem o serwerach LDAP, ale nadal nie jestem pewien, czy wybrać najlepszą metodę uwierzytelniania. Czy TLS / SSL jest wystarczająco dobry? Jakie są zalety Kerberos? Co to jest GSSAPI? Itd ... Nie znalazłem przejrzystego przewodnika, który wyjaśnia zalety / wady tych różnych metod. Dziękuję za wszelką pomoc.

W przypadku tego problemu FreeIPA jest „najlepszym” rozwiązaniem FOSS na rynku.

Ponieważ dopiero zaczynasz poznawać zakres swojego problemu, przed przystąpieniem do gry z FreeIPA powinieneś przeprowadzić badania.

Szyfrowanie TLS jest wystarczająco dobre, aby zabezpieczyć transmisję haseł od klientów do serwera, biorąc pod uwagę:

• Listy ACL serwera LDAP prawidłowo ograniczają dostęp do skrótów haseł.
• Klucz prywatny twojego serwera nigdy nie jest zagrożony.

Zwykłe uwierzytelnianie szyfrowane TLS to najprostsza metoda bezpiecznego uwierzytelniania. Większość systemów to obsługuje. Jedynym warunkiem wstępnym systemów klienckich jest uzyskanie kopii certyfikatu urzędu certyfikacji SSL.

Kerberos jest szczególnie użyteczny, jeśli chcesz mieć system pojedynczego logowania dla swoich stacji roboczych. Byłoby miło móc raz się zalogować i mieć dostęp do usług internetowych, poczty e-mail IMAP i zdalnych powłok bez konieczności ponownego wprowadzania hasła. Niestety istnieje ograniczony wybór klientów do usług skerberizowanych. Internet Explorer jest jedyną przeglądarką. ktelnet to twoja zdalna powłoka.

Nadal możesz szyfrować ruch do skerberizowanego serwera LDAP i innych usług za pomocą TLS / SSL, aby zapobiec wąchaniu ruchu.

GSSAPI to ustandaryzowany protokół uwierzytelniania przy użyciu zaplecza, takiego jak Kerberos.

LDAP działa dobrze dla wielu serwerów i dobrze się skaluje. StartTLS może służyć do zabezpieczenia komunikacji LDAP. OpenLDAP rośnie dobrze obsługiwany i bardziej dojrzały. Replikacja master-master jest dostępna dla redundancji. Użyłem Gosa jako interfejsu administracyjnego.

Nadal nie zadałem sobie trudu ograniczania dostępu na serwer, ale obiekt już istnieje.

Możesz także spojrzeć na udostępnione katalogi domowe za pomocą autofs lub innego mechanizmu montowania w sieci. Prawdopodobnie nie będziesz chciał dodać modułu pam, który tworzy brakujące katalogi domowe przy pierwszym logowaniu.

Chociaż NIS (inaczej żółte strony) jest dojrzały, ma również pewne zgłoszone problemy z bezpieczeństwem.

Jeśli szukasz prostego rozwiązania dla swojej sieci lokalnej, usługa informacyjna sieci Sun'S jest wygodna i działa już od dłuższego czasu. Ten i ten link opisują sposób konfigurowania instancji serwera i klienta. Usługi LDAP, takie jak opisane tutaj , mogą również zapewniać scentralizowaną administrację, którą chcesz.

To powiedziawszy, jeśli potrzebujesz wyższego poziomu bezpieczeństwa, możesz wybrać inne pakiety. TLS / SSL nie będzie działać przy pierwszym logowaniu, chyba że masz oddzielne klucze / karty inteligentne lub coś podobnego. Kerberos może pomóc, ale wymaga bezpiecznego, zaufanego serwera. Jakie są twoje potrzeby