Metodi di autenticazione / autorizzazione di Linux Central

Ho una piccola ma crescente rete di server Linux. Idealmente vorrei un posto centrale per controllare l'accesso degli utenti, modificare le password, ecc ... Ho letto molto sui server LDAP, ma sono ancora confuso sulla scelta del miglior metodo di autenticazione. TLS / SSL è abbastanza buono? Quali sono i vantaggi di Kerberos? Che cos'è GSSAPI? Ecc ... Non ho trovato una guida chiara che spiega i pro / contro di questi diversi metodi. Grazie per qualsiasi aiuto.

Per questo problema, FreeIPA è la "migliore" soluzione FOSS in circolazione.

Dato che stai appena iniziando a conoscere la portata del tuo problema, dovresti fare le tue ricerche prima di provare a giocare con FreeIPA.

La crittografia TLS è abbastanza buona da proteggere la trasmissione di password dai client al server, dato quanto segue:

• Gli ACL del tuo server LDAP limitano correttamente l'accesso agli hash delle password.
• La chiave privata del tuo server non è mai compromessa.

L'autenticazione semplice crittografata TLS è il metodo più semplice di autenticazione sicura da configurare. La maggior parte dei sistemi lo supporta. L'unico prerequisito dei sistemi client è ottenere una copia del certificato dell'autorità di certificazione SSL.

Kerberos è utile soprattutto se si desidera un unico sistema di accesso per le proprie workstation. Sarebbe bello poter accedere una volta e avere accesso a servizi Web, e-mail IMAP e shell remote senza immettere nuovamente la password. Sfortunatamente, c'è una selezione limitata di client per i servizi kerberized. Internet Explorer è l'unico browser. ktelnet è la tua shell remota.

Potresti comunque voler crittografare il traffico verso il tuo server LDAP kerberized e altri servizi con TLS / SSL per impedire lo sniffing del traffico.

GSSAPI è un protocollo standardizzato per l'autenticazione che utilizza back-end come Kerberos.

LDAP funziona bene per più server e si adatta bene. startTLS può essere utilizzato per proteggere le comunicazioni LDAP. OpenLDAP sta diventando ben supportato e più maturo. La replica master-master è disponibile per la ridondanza. Ho usato Gosa come interfaccia amministrativa.

Non mi sono ancora preoccupato di limitare l'accesso per server, ma la struttura è lì.

Potresti anche voler guardare le home directory condivise usando autofs o qualche altro meccanismo di montaggio in rete. Probabilmente non vorrai aggiungere il modulo pam che crea le home directory mancanti al primo accesso.

Mentre NIS (aka pagine gialle) è maturo, ha anche alcuni problemi di sicurezza segnalati.

Se stai cercando una soluzione semplice per la tua rete locale, Sun'S Network Information Service è conveniente ed è in circolazione da molto tempo. Questo collegamento e questo descrivono come impostare sia le istanze del server che quelle del client. I servizi LDAP, come quelli descritti qui , possono fornire anche l'amministrazione centralizzata desiderata.

Detto questo, se hai bisogno di livelli più elevati di sicurezza, potresti voler andare con altri pacchetti. TLS / SSL non funzionerà per il login iniziale a meno che tu non abbia dongle / smartcard separate o qualcosa di simile. Kerberos può essere d'aiuto, ma richiede un server sicuro e affidabile. Quali sono le tue esigenze?