Центральная аутентификация / методы авторизации в Linux

У меня небольшая, но растущая сеть серверов Linux. В идеале мне бы хотелось иметь центральное место для контроля доступа пользователей, смены паролей и т. Д. Я много читал о серверах LDAP, но все еще не уверен в выборе лучшего метода аутентификации. Достаточно ли хорош TLS / SSL? Каковы преимущества Kerberos? Что такое ГССАПИ? И т.д ... Я не нашел четкого руководства, которое объясняет плюсы / минусы этих разных методов. Спасибо за любую помощь.

Для этой проблемы FreeIPA является «лучшим» решением FOSS.

Поскольку вы только начинаете узнавать о масштабах своей проблемы, вам следует провести исследование, прежде чем пытаться играть с FreeIPA.

Шифрование TLS достаточно хорошо, чтобы обеспечить передачу паролей от клиентов к серверу, учитывая следующее:

• ACL вашего LDAP-сервера правильно ограничивают доступ к хэшам паролей.
• Закрытый ключ вашего сервера никогда не будет взломан.

TLS шифрованная обычная аутентификация является наиболее простым способом настройки безопасной аутентификации. Большинство систем поддерживают это. Единственным условием, которым должны обладать ваши клиентские системы, является получение копии сертификата вашего центра сертификации SSL.

Kerberos в основном полезен, если вам нужна система единого входа для ваших рабочих станций. Было бы неплохо иметь возможность войти в систему один раз и иметь доступ к веб-службам, электронной почте IMAP и удаленным оболочкам без повторного ввода пароля. К сожалению, существует ограниченный выбор клиентов для керберизованных услуг. Internet Explorer - единственный браузер. ktelnet - это ваша удаленная оболочка.

Возможно, вы все еще захотите зашифровать трафик к вашему керберизованному серверу LDAP и другим сервисам с помощью TLS / SSL, чтобы предотвратить перехват трафика.

GSSAPI - это стандартизированный протокол для аутентификации с использованием серверных частей, таких как Kerberos.

LDAP хорошо работает для нескольких серверов и хорошо масштабируется. startTLS может использоваться для защиты связи LDAP. OpenLDAP растет хорошо поддерживается и более зрелым. Репликация мастер-мастер доступна для резервирования. Я использовал Gosa в качестве административного интерфейса.

Я все еще не удосужился ограничить доступ на сервер, но средство есть.

Вы также можете посмотреть общие домашние каталоги, используя autofs или какой-либо другой механизм монтирования сети. Вероятно, вы не захотите добавить модуль pam, который создает недостающие домашние каталоги при первом входе в систему.

Хотя NIS (или желтые страницы) является зрелым, у него также есть некоторые проблемы с безопасностью.

Если вы ищете простое решение для своей локальной сети, информационная служба Sun'S Network удобна и существует уже давно. Эта ссылка и эта описывают, как настроить экземпляры сервера и клиента. Службы LDAP, такие как описанные здесь , также могут предоставить вам централизованное администрирование.

Тем не менее, если вам нужен более высокий уровень безопасности, вы можете пойти с другими пакетами. TLS / SSL не будет работать для первоначального входа, если у вас нет отдельных ключей / смарт-карт или чего-то подобного. Kerberos может помочь, но требует защищенного, доверенного сервера. Каковы ваши потребности?