Центральная аутентификация / методы авторизации в Linux

14

У меня небольшая, но растущая сеть серверов Linux. В идеале мне бы хотелось иметь центральное место для контроля доступа пользователей, смены паролей и т. Д. Я много читал о серверах LDAP, но все еще не уверен в выборе лучшего метода аутентификации. Достаточно ли хорош TLS / SSL? Каковы преимущества Kerberos? Что такое ГССАПИ? И т.д ... Я не нашел четкого руководства, которое объясняет плюсы / минусы этих разных методов. Спасибо за любую помощь.

Крис Макбрайд
источник
Не забывай NIS. Это может быть старым, но это все еще широко используется по причине.
MadHatter
Я думаю, что причиной могут быть устройства и другие операционные системы, которые не полностью поддерживают LDAP. Если у вас 100% магазин Linux, тогда LDAP - это путь. У Solaris проблемы с общением с OpenLDAP с использованием OpenSSL для шифрования. FreeBSD не может использовать сетевые группы через LDAP. Вы всегда можете настроить шлюз NIS для данных без аутентификации, необходимых несовместимым системам.
Джефф Странк
@MadHatter Я уверен, что причина, по которой NIS все еще используется, называется «Инерция».
Магеллан

Ответы:

4

Для этой проблемы FreeIPA является «лучшим» решением FOSS.

Поскольку вы только начинаете узнавать о масштабах своей проблемы, вам следует провести исследование, прежде чем пытаться играть с FreeIPA.

Не сейчас
источник
3

Шифрование TLS достаточно хорошо, чтобы обеспечить передачу паролей от клиентов к серверу, учитывая следующее:

  • ACL вашего LDAP-сервера правильно ограничивают доступ к хэшам паролей.
  • Закрытый ключ вашего сервера никогда не будет взломан.

TLS шифрованная обычная аутентификация является наиболее простым способом настройки безопасной аутентификации. Большинство систем поддерживают это. Единственным условием, которым должны обладать ваши клиентские системы, является получение копии сертификата вашего центра сертификации SSL.

Kerberos в основном полезен, если вам нужна система единого входа для ваших рабочих станций. Было бы неплохо иметь возможность войти в систему один раз и иметь доступ к веб-службам, электронной почте IMAP и удаленным оболочкам без повторного ввода пароля. К сожалению, существует ограниченный выбор клиентов для керберизованных услуг. Internet Explorer - единственный браузер. ktelnet - это ваша удаленная оболочка.

Возможно, вы все еще захотите зашифровать трафик к вашему керберизованному серверу LDAP и другим сервисам с помощью TLS / SSL, чтобы предотвратить перехват трафика.

GSSAPI - это стандартизированный протокол для аутентификации с использованием серверных частей, таких как Kerberos.

Джефф Странк
источник
2

LDAP хорошо работает для нескольких серверов и хорошо масштабируется. startTLS может использоваться для защиты связи LDAP. OpenLDAP растет хорошо поддерживается и более зрелым. Репликация мастер-мастер доступна для резервирования. Я использовал Gosa в качестве административного интерфейса.

Я все еще не удосужился ограничить доступ на сервер, но средство есть.

Вы также можете посмотреть общие домашние каталоги, используя autofs или какой-либо другой механизм монтирования сети. Вероятно, вы не захотите добавить модуль pam, который создает недостающие домашние каталоги при первом входе в систему.

Хотя NIS (или желтые страницы) является зрелым, у него также есть некоторые проблемы с безопасностью.

BillThor
источник
0

Если вы ищете простое решение для своей локальной сети, информационная служба Sun'S Network удобна и существует уже давно. Эта ссылка и эта описывают, как настроить экземпляры сервера и клиента. Службы LDAP, такие как описанные здесь , также могут предоставить вам централизованное администрирование.

Тем не менее, если вам нужен более высокий уровень безопасности, вы можете пойти с другими пакетами. TLS / SSL не будет работать для первоначального входа, если у вас нет отдельных ключей / смарт-карт или чего-то подобного. Kerberos может помочь, но требует защищенного, доверенного сервера. Каковы ваши потребности?

mpez0
источник
Что ж, сейчас мои потребности строго связаны с центральным сервером аутентификации, поэтому мне нужно менять пароль только в одном месте, а не на каждом сервере. Но я бы хотел, чтобы решение было хорошо масштабируемым, поэтому, когда мне нужно более детальное управление доступом, я могу легко добавить его. Вот почему я смотрел на LDAP, а не на NIS.
Крис МакБрайд,
Я думаю, что Крис имел в виду TLS / SSL только для шифрования сетевого трафика между клиентом и сервером LDAP. В этом случае вам не нужно никакого дополнительного оборудования.
Джефф Странк