Центральная аутентификация / методы авторизации в Linux

Question

Центральная аутентификация / методы авторизации в Linux

У меня небольшая, но растущая сеть серверов Linux. В идеале мне бы хотелось иметь центральное место для контроля доступа пользователей, смены паролей и т. Д. Я много читал о серверах LDAP, но все еще не уверен в выборе лучшего метода аутентификации. Достаточно ли хорош TLS/SSL? Каковы преимущества Kerberos? Что такое ГССАПИ? И т.д... Я не нашел четкого руководства, которое объясняет плюсы / минусы этих разных методов. Спасибо за любую помощь.

16

linux ldap authentication kerberos authorization

Источник

Chris McBride 14 фев '11 в 16:05

4 ответа

Другие вопросы по тегам linux ldap authentication kerberos authorization

Not Now 15 фев '11 в 00:49 2011-02-15 00:49 · Answer 1 · 2011-02-15 00:49

Для этой проблемы FreeIPA является "лучшим" решением FOSS.

Поскольку вы только начинаете узнавать о масштабах своей проблемы, вам следует провести исследование, прежде чем пытаться поиграть с FreeIPA.

4

Источник

Not Now 15 фев '11 в 00:49

Jeff Strunk 15 фев '11 в 08:48 2011-02-15 08:48 · Answer 2 · 2011-02-15 08:48

Шифрование TLS достаточно хорошо, чтобы обеспечить передачу паролей от клиентов к серверу, учитывая следующее:

ACL вашего LDAP-сервера правильно ограничивают доступ к хэшам паролей.
Закрытый ключ вашего сервера никогда не будет взломан.

TLS шифрованная обычная аутентификация - это самый простой способ настройки безопасной аутентификации. Большинство систем поддерживают это. Единственное предварительное условие, которое должны иметь ваши клиентские системы, - это получить копию сертификата вашего центра сертификации SSL.

Kerberos в основном полезен, если вам нужна система единого входа для ваших рабочих станций. Было бы неплохо иметь возможность один раз войти в систему и получить доступ к веб-службам, электронной почте IMAP и удаленным оболочкам без повторного ввода пароля. К сожалению, существует ограниченный выбор клиентов для керберизованных услуг. Internet Explorer - единственный браузер. ktelnet - это ваша удаленная оболочка.

Возможно, вы все еще захотите зашифровать трафик к вашему керберизованному серверу LDAP и другим сервисам с помощью TLS/SSL, чтобы предотвратить перехват трафика.

GSSAPI - это стандартизированный протокол для аутентификации с использованием серверных частей, таких как Kerberos.

BillThor 14 фев '11 в 18:50 2011-02-14 18:50 · Answer 3 · 2011-02-14 18:50

LDAP хорошо работает для нескольких серверов и хорошо масштабируется. startTLS может использоваться для защиты связи LDAP. OpenLDAP растет хорошо поддерживается и более зрелым. Репликация мастер-мастер доступна для резервирования. Я использовал Gosa в качестве административного интерфейса.

Я все еще не удосужился ограничить доступ на сервер, но средство есть.

Вы также можете посмотреть общие домашние каталоги, используя autofs или какой-либо другой механизм монтирования сети. Вероятно, вы не захотите добавить модуль pam, который создает недостающие домашние каталоги при первом входе в систему.

Хотя NIS (или желтые страницы) является зрелым, у него также есть некоторые проблемы с безопасностью.

mpez0 14 фев '11 в 16:40 2011-02-14 16:40 · Answer 4 · 2011-02-14 16:40

Если вы ищете простое решение для своей локальной сети, информационная служба Sun'S Network удобна и работает уже давно. Эта ссылка и эта описывают, как настроить экземпляры сервера и клиента. Службы LDAP, такие как описанные здесь, также могут предоставить вам централизованное администрирование.

Тем не менее, если вам нужен более высокий уровень безопасности, вы можете пойти с другими пакетами. TLS/SSL не будет работать для первоначального входа в систему, если у вас нет отдельных ключей / смарт-карт или чего-то подобного. Kerberos может помочь, но требует защищенного, доверенного сервера. Каковы ваши потребности?