Metodi di autenticazione / autorizzazione di Linux Central


14

Ho una piccola ma crescente rete di server Linux. Idealmente vorrei un posto centrale per controllare l'accesso degli utenti, modificare le password, ecc ... Ho letto molto sui server LDAP, ma sono ancora confuso sulla scelta del miglior metodo di autenticazione. TLS / SSL è abbastanza buono? Quali sono i vantaggi di Kerberos? Che cos'è GSSAPI? Ecc ... Non ho trovato una guida chiara che spiega i pro / contro di questi diversi metodi. Grazie per qualsiasi aiuto.


Non dimenticare NIS. Potrebbe essere vecchio, ma è ancora ampiamente usato per un motivo.
MadHatter,

Penso che la ragione possa essere rappresentata da dispositivi e altri sistemi operativi che non supportano completamente LDAP. Se hai un negozio Linux al 100%, LDAP è la strada da percorrere. Solaris ha difficoltà a parlare con OpenLDAP utilizzando OpenSSL per la crittografia. FreeBSD non può usare netgroup su LDAP. È sempre possibile impostare un gateway NIS per i dati non di autenticazione richiesti da sistemi incompatibili.
Jeff Strunk,

@MadHatter Sono abbastanza sicuro che il motivo per cui NIS è ancora usato si chiama "Inertia".
Magellan,

Risposte:


4

Per questo problema, FreeIPA è la "migliore" soluzione FOSS in circolazione.

Dato che stai appena iniziando a conoscere la portata del tuo problema, dovresti fare le tue ricerche prima di provare a giocare con FreeIPA.


3

La crittografia TLS è abbastanza buona da proteggere la trasmissione di password dai client al server, dato quanto segue:

  • Gli ACL del tuo server LDAP limitano correttamente l'accesso agli hash delle password.
  • La chiave privata del tuo server non è mai compromessa.

L'autenticazione semplice crittografata TLS è il metodo più semplice di autenticazione sicura da configurare. La maggior parte dei sistemi lo supporta. L'unico prerequisito dei sistemi client è ottenere una copia del certificato dell'autorità di certificazione SSL.

Kerberos è utile soprattutto se si desidera un unico sistema di accesso per le proprie workstation. Sarebbe bello poter accedere una volta e avere accesso a servizi Web, e-mail IMAP e shell remote senza immettere nuovamente la password. Sfortunatamente, c'è una selezione limitata di client per i servizi kerberized. Internet Explorer è l'unico browser. ktelnet è la tua shell remota.

Potresti comunque voler crittografare il traffico verso il tuo server LDAP kerberized e altri servizi con TLS / SSL per impedire lo sniffing del traffico.

GSSAPI è un protocollo standardizzato per l'autenticazione che utilizza back-end come Kerberos.


2

LDAP funziona bene per più server e si adatta bene. startTLS può essere utilizzato per proteggere le comunicazioni LDAP. OpenLDAP sta diventando ben supportato e più maturo. La replica master-master è disponibile per la ridondanza. Ho usato Gosa come interfaccia amministrativa.

Non mi sono ancora preoccupato di limitare l'accesso per server, ma la struttura è lì.

Potresti anche voler guardare le home directory condivise usando autofs o qualche altro meccanismo di montaggio in rete. Probabilmente non vorrai aggiungere il modulo pam che crea le home directory mancanti al primo accesso.

Mentre NIS (aka pagine gialle) è maturo, ha anche alcuni problemi di sicurezza segnalati.


0

Se stai cercando una soluzione semplice per la tua rete locale, Sun'S Network Information Service è conveniente ed è in circolazione da molto tempo. Questo collegamento e questo descrivono come impostare sia le istanze del server che quelle del client. I servizi LDAP, come quelli descritti qui , possono fornire anche l'amministrazione centralizzata desiderata.

Detto questo, se hai bisogno di livelli più elevati di sicurezza, potresti voler andare con altri pacchetti. TLS / SSL non funzionerà per il login iniziale a meno che tu non abbia dongle / smartcard separate o qualcosa di simile. Kerberos può essere d'aiuto, ma richiede un server sicuro e affidabile. Quali sono le tue esigenze?


Bene, in questo momento le mie esigenze sono rigorosamente per un server di autenticazione centrale, quindi devo solo cambiare una password in un posto invece di ogni server. Ma vorrei una soluzione che si ridimensiona bene, quindi quando ho bisogno di controlli di accesso più granulari, posso facilmente aggiungerlo. Ecco perché stavo guardando LDAP invece di NIS.
Chris McBride,

Penso che Chris si riferisse a TLS / SSL solo per crittografare il traffico di rete tra client e server LDAP. In tal caso, non è necessario alcun hardware aggiuntivo.
Jeff Strunk,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.