У меня небольшая, но растущая сеть Linux-серверов. В идеале я хотел бы иметь центральное место для управления доступом пользователей, смены паролей и т. Д. Я много читал о серверах LDAP, но все еще не понимаю, как выбрать лучший метод аутентификации. Достаточно ли хорош TLS / SSL? В чем преимущества Kerberos? Что такое GSSAPI? И т.д. ... Я не нашел четкого руководства, которое объясняло бы плюсы и минусы этих разных методов. Спасибо за любую помощь.
Для этой проблемы FreeIPA это «лучшее» решение FOSS.
Поскольку вы только начинаете понимать масштабы своей проблемы, вам следует провести исследование, прежде чем пытаться играть с FreeIPA.
Шифрование TLS достаточно хорошо для защиты передачи паролей от клиентов к серверу при следующих условиях:
Простая проверка подлинности с шифрованием TLS - это самый простой в настройке метод безопасной проверки подлинности. Большинство систем поддерживают это. Единственное предварительное условие, которое есть у ваших клиентских систем, - это получение копии сертификата вашего центра сертификации SSL.
Kerberos в основном полезен, если вам нужна система единого входа для ваших рабочих станций. Было бы неплохо иметь возможность войти в систему один раз и получить доступ к веб-службам, электронной почте IMAP и удаленным оболочкам без повторного ввода пароля. К сожалению, для керберизованных сервисов выбор клиентов ограничен. Internet Explorer - единственный браузер. ktelnet - это ваша удаленная оболочка.
Вы все равно можете захотеть зашифровать трафик к керберизованному серверу LDAP и другим службам с помощью TLS / SSL, чтобы предотвратить перехват трафика.
GSSAPI - это стандартизованный протокол для аутентификации с использованием серверных компонентов, таких как Kerberos.
LDAP хорошо работает с несколькими серверами и хорошо масштабируется. startTLS можно использовать для защиты связи LDAP. OpenLDAP получает все большую поддержку и становится более зрелым. Репликация мастер-мастер доступна для резервирования. Я использовал Gosa в качестве административного интерфейса.
Я до сих пор не стал ограничивать доступ к серверу, но возможность есть.
Вы также можете посмотреть общие домашние каталоги с помощью autofs или какого-либо другого механизма сетевого монтирования. Вероятно, вы не захотите добавить модуль pam, который создает отсутствующие домашние каталоги при первом входе в систему.
Хотя NIS (также известный как желтые страницы) является зрелым, он также имеет некоторые проблемы с безопасностью.
Если вы ищете простое решение для своей локальной сети, Sun'S Network Information Service удобна и существует уже давно. Эта ссылка и вот этот опишите, как настроить экземпляры сервера и клиента. Сервисы LDAP, такие как описано здесь, вы также можете обеспечить централизованное администрирование.
Тем не менее, если вам нужен более высокий уровень безопасности, вы можете использовать другие пакеты. TLS / SSL не будет работать для первоначального входа в систему, если у вас нет отдельных ключей / смарт-карт или чего-то подобного. Kerberos может помочь, но для этого требуется защищенный, надежный сервер. Что вам нужно?