У меня небольшая, но растущая сеть серверов Linux. В идеале мне бы хотелось иметь центральное место для контроля доступа пользователей, смены паролей и т. Д. Я много читал о серверах LDAP, но все еще не уверен в выборе лучшего метода аутентификации. Достаточно ли хорош TLS / SSL? Каковы преимущества Kerberos? Что такое ГССАПИ? И т.д ... Я не нашел четкого руководства, которое объясняет плюсы / минусы этих разных методов. Спасибо за любую помощь.
linux
authentication
ldap
kerberos
authorization
Крис Макбрайд
источник
источник
Ответы:
Для этой проблемы FreeIPA является «лучшим» решением FOSS.
Поскольку вы только начинаете узнавать о масштабах своей проблемы, вам следует провести исследование, прежде чем пытаться играть с FreeIPA.
источник
Шифрование TLS достаточно хорошо, чтобы обеспечить передачу паролей от клиентов к серверу, учитывая следующее:
TLS шифрованная обычная аутентификация является наиболее простым способом настройки безопасной аутентификации. Большинство систем поддерживают это. Единственным условием, которым должны обладать ваши клиентские системы, является получение копии сертификата вашего центра сертификации SSL.
Kerberos в основном полезен, если вам нужна система единого входа для ваших рабочих станций. Было бы неплохо иметь возможность войти в систему один раз и иметь доступ к веб-службам, электронной почте IMAP и удаленным оболочкам без повторного ввода пароля. К сожалению, существует ограниченный выбор клиентов для керберизованных услуг. Internet Explorer - единственный браузер. ktelnet - это ваша удаленная оболочка.
Возможно, вы все еще захотите зашифровать трафик к вашему керберизованному серверу LDAP и другим сервисам с помощью TLS / SSL, чтобы предотвратить перехват трафика.
GSSAPI - это стандартизированный протокол для аутентификации с использованием серверных частей, таких как Kerberos.
источник
LDAP хорошо работает для нескольких серверов и хорошо масштабируется. startTLS может использоваться для защиты связи LDAP. OpenLDAP растет хорошо поддерживается и более зрелым. Репликация мастер-мастер доступна для резервирования. Я использовал Gosa в качестве административного интерфейса.
Я все еще не удосужился ограничить доступ на сервер, но средство есть.
Вы также можете посмотреть общие домашние каталоги, используя autofs или какой-либо другой механизм монтирования сети. Вероятно, вы не захотите добавить модуль pam, который создает недостающие домашние каталоги при первом входе в систему.
Хотя NIS (или желтые страницы) является зрелым, у него также есть некоторые проблемы с безопасностью.
источник
Если вы ищете простое решение для своей локальной сети, информационная служба Sun'S Network удобна и существует уже давно. Эта ссылка и эта описывают, как настроить экземпляры сервера и клиента. Службы LDAP, такие как описанные здесь , также могут предоставить вам централизованное администрирование.
Тем не менее, если вам нужен более высокий уровень безопасности, вы можете пойти с другими пакетами. TLS / SSL не будет работать для первоначального входа, если у вас нет отдельных ключей / смарт-карт или чего-то подобного. Kerberos может помочь, но требует защищенного, доверенного сервера. Каковы ваши потребности?
источник