Методи централізованої автентифікації / авторизації Linux

У мене невелика, але зростаюча мережа серверів Linux. В ідеалі мені хотілося б центральне місце для контролю доступу користувачів, зміни паролів тощо ... Я багато читав про сервери LDAP, але все ще плутаюся щодо вибору найкращого методу аутентифікації. Чи достатньо хороший TLS / SSL? У чому переваги Кербероса? Що GSSAPI? І т.д. ... Я не знайшов чіткого посібника, який би пояснював плюси та мінуси цих різних методів. Дякуємо за будь-яку допомогу.

Для цієї проблеми FreeIPA - це «найкраще» FOSS-рішення.

Оскільки ви тільки починаєте дізнаватися про масштаби вашої проблеми, вам слід зробити дослідження, перш ніж намагатися грати з FreeIPA.

Шифрування TLS достатньо добре для забезпечення передачі паролів від клієнтів на сервер з урахуванням наступного:

• ACL-сервери вашого сервера LDAP належним чином обмежують доступ до хешей паролів.
• Приватний ключ вашого сервера ніколи не порушений.

Зашифрована TLS звичайна автентифікація - це найпростіший спосіб налаштування безпечної аутентифікації. Більшість систем це підтримує. Єдиною умовою, яку мають ваші клієнтські системи, є отримання копії сертифікату вашого сертифікату SSL.

Kerberos в основному корисний, якщо ви хочете отримати єдиний знак на системі для своїх робочих станцій. Було б непогано мати можливість увійти один раз та мати доступ до веб-служб, електронної пошти IMAP та віддалених оболонок, не вводячи свій пароль ще раз. На жаль, існує обмежений вибір клієнтів для керберизованих послуг. Internet Explorer - єдиний браузер. ktelnet - ваша віддалена оболонка.

Ви все ще можете зашифрувати трафік на своєму kerberized LDAP-сервері та інших службах з TLS / SSL, щоб запобігти нюху трафіку.

GSSAPI - це стандартизований протокол для аутентифікації з використанням зворотних торців, таких як Kerberos.

LDAP добре працює на декількох серверах і добре масштабує. startTLS може використовуватися для захисту зв'язку LDAP. OpenLDAP зростає з хорошою підтримкою та зрілішою. Реплікація Master-master доступна для надмірності. Я використовував Gosa як адміністративний інтерфейс.

Я все ще не переймався обмеженням доступу на один сервер, але об'єкт є.

Ви також можете переглянути спільні домашні каталоги за допомогою автофайлів чи іншого механізму монтажу в мережі. Ви, ймовірно, не захочете додати модуль pam, який створює відсутні домашні каталоги під час першого входу.

Незважаючи на те, що NIS (aka yellowpages) зрілий, він також має деякі проблеми безпеки.

Якщо ви шукаєте просте рішення для вашої локальної мережі, послуга Sun’S Network Information є зручною і існує вже давно. Це посилання та цей опис описують, як налаштувати як сервер, так і клієнтські екземпляри. Служби LDAP, як описано тут , можуть також надавати потрібну вам централізовану адміністрацію.

Це означає, що якщо вам потрібен більш високий рівень безпеки, ви можете скористатися іншими пакетами. TLS / SSL не працюватиме для початкового входу, якщо у вас немає окремих ключів / смарт-карт або чогось подібного. Kerberos може допомогти, але потрібен захищений надійний сервер. Які ваші потреби?