Linux Merkezi Kimlik Doğrulama / Yetkilendirme Yöntemleri

Küçük ama büyüyen bir Linux sunucu ağım var. İdeal olarak, Kullanıcı Erişimi'ni kontrol etmek, şifreleri değiştirmek vb. İçin merkezi bir yer istiyorum ... LDAP sunucuları hakkında çok şey okudum, ancak yine de en iyi kimlik doğrulama yöntemini seçmek konusunda kafam karıştı. TLS / SSL yeterince iyi mi? Kerberos'un faydaları nelerdir? GSSAPI nedir? Vb ... Bu farklı yöntemlerin artılarını / eksilerini açıklayan net bir rehber bulamadım. Herhangi bir yardım için teşekkürler.

Bu sorun için, FreeIPA orada "en iyi" FOSS çözümüdür.

Sorununuzun kapsamı hakkında yeni bilgi edinmeye başladığınız için FreeIPA ile oynamaya başlamadan önce araştırmalarınızı yapmalısınız.

TLS şifrelemesi, parolaların istemcilerden sunucuya iletilmesini güvence altına alacak kadar iyidir:

• LDAP sunucunuzun ACL'leri şifre karmasına erişimi düzgün bir şekilde kısıtlar.
• Sunucunuzun özel anahtarından hiçbir zaman ödün verilmez.

TLS şifreli düz kimlik doğrulaması, kurulum için güvenli kimlik doğrulamanın en basit yöntemidir. Çoğu sistem bunu destekler. İstemci sistemlerinizin tek önkoşulu SSL sertifika yetkilinizin sertifikasının bir kopyasını almaktır.

Kerberos özellikle iş istasyonlarınız için tek bir oturum açma sistemi istiyorsanız yararlıdır. Bir kez giriş yapabilmek ve şifrenizi tekrar girmeden web servislerine, IMAP e-postalarına ve uzak kabuklara erişebilmek güzel olurdu. Maalesef, kereste hizmetleri için sınırlı sayıda müşteri bulunmaktadır. Internet Explorer tek tarayıcıdır. ktelnet uzak kabuğunuzdur.

Trafiğin kokmasını önlemek için, kerestelenmiş LDAP sunucunuza ve TLS / SSL ile diğer hizmetlere giden trafiği yine de şifrelemek isteyebilirsiniz.

GSSAPI , Kerberos gibi arka uçları kullanan kimlik doğrulama için standartlaştırılmış bir protokoldür.

LDAP birden çok sunucu için iyi çalışır ve iyi ölçeklendirilir. startTLS, LDAP iletişimini güvenli hale getirmek için kullanılabilir. OpenLDAP iyi destekleniyor ve daha olgunlaşıyor. Master-master çoğaltma, tekrarlama için kullanılabilir. Gosa'yı yönetici arayüzü olarak kullandım.

Hala sunucu başına erişimi sınırlama rahatsız değil, ama tesis var.

Autofs veya başka bir ağ bağlama mekanizması kullanarak paylaşılan ev dizinlerine de bakmak isteyebilirsiniz. Büyük olasılıkla ilk girişte eksik ev dizinleri oluşturan pam modülünü eklemek istemeyeceksiniz.

NIS (diğer adıyla sarı sayfalar) olgun olsa da, bildirilen bazı güvenlik sorunları da vardır.

Yerel ağınız için basit bir çözüm arıyorsanız, Sun'S Network Information Service kullanışlıdır ve uzun süredir kullanılmaktadır. Bu bağlantı ve bu , hem sunucunun hem de istemci örneklerinin nasıl ayarlanacağını açıklar. Burada açıklananlar gibi LDAP hizmetleri de istediğiniz merkezi yönetimi sağlayabilir.

Bununla birlikte, daha yüksek güvenlik düzeylerine ihtiyacınız varsa, diğer paketlerle gitmek isteyebilirsiniz. TLS / SSL, ayrı dongle'larınız / akıllı kartlarınız veya benzeri bir şey yoksa ilk giriş için çalışmaz. Kerberos yardımcı olabilir, ancak güvenli ve güvenilir bir sunucu gerektirir. İhtiyaçlarınız neler?