Centralne metody uwierzytelniania / autoryzacji w systemie Linux

14

Mam małą, ale rosnącą sieć serwerów Linux. Idealnie chciałbym mieć centralne miejsce do kontrolowania dostępu użytkowników, zmiany haseł itp. Dużo czytałem o serwerach LDAP, ale nadal nie jestem pewien, czy wybrać najlepszą metodę uwierzytelniania. Czy TLS / SSL jest wystarczająco dobry? Jakie są zalety Kerberos? Co to jest GSSAPI? Itd ... Nie znalazłem przejrzystego przewodnika, który wyjaśnia zalety / wady tych różnych metod. Dziękuję za wszelką pomoc.

linux  authentication  ldap  kerberos  authorization 
Chris McBride
źródło
Nie zapomnij o NIS. Może i jest stary, ale z jakiegoś powodu jest powszechnie używany.
MadHatter
Myślę, że powodem mogą być urządzenia i inne systemy operacyjne, które nie w pełni obsługują LDAP. Jeśli masz sklep z Linuksem w 100%, najlepszym rozwiązaniem jest LDAP. Solaris ma problemy z rozmową z OpenLDAP przy użyciu OpenSSL do szyfrowania. FreeBSD nie może używać grup sieciowych przez LDAP. Zawsze możesz skonfigurować bramę NIS dla danych nieautoryzowanych wymaganych przez niekompatybilne systemy.
Jeff Strunk
@MadHatter Jestem pewien, że powód, dla którego NIS jest nadal używany, nazywa się „bezwładnością”.
Magellan,

Odpowiedzi:

4

W przypadku tego problemu FreeIPA jest „najlepszym” rozwiązaniem FOSS na rynku.

Ponieważ dopiero zaczynasz poznawać zakres swojego problemu, przed przystąpieniem do gry z FreeIPA powinieneś przeprowadzić badania.

Nie teraz
źródło
3

Szyfrowanie TLS jest wystarczająco dobre, aby zabezpieczyć transmisję haseł od klientów do serwera, biorąc pod uwagę:

  • Listy ACL serwera LDAP prawidłowo ograniczają dostęp do skrótów haseł.
  • Klucz prywatny twojego serwera nigdy nie jest zagrożony.

Zwykłe uwierzytelnianie szyfrowane TLS to najprostsza metoda bezpiecznego uwierzytelniania. Większość systemów to obsługuje. Jedynym warunkiem wstępnym systemów klienckich jest uzyskanie kopii certyfikatu urzędu certyfikacji SSL.

Kerberos jest szczególnie użyteczny, jeśli chcesz mieć system pojedynczego logowania dla swoich stacji roboczych. Byłoby miło móc raz się zalogować i mieć dostęp do usług internetowych, poczty e-mail IMAP i zdalnych powłok bez konieczności ponownego wprowadzania hasła. Niestety istnieje ograniczony wybór klientów do usług skerberizowanych. Internet Explorer jest jedyną przeglądarką. ktelnet to twoja zdalna powłoka.

Nadal możesz szyfrować ruch do skerberizowanego serwera LDAP i innych usług za pomocą TLS / SSL, aby zapobiec wąchaniu ruchu.

GSSAPI to ustandaryzowany protokół uwierzytelniania przy użyciu zaplecza, takiego jak Kerberos.

Jeff Strunk
źródło
2

LDAP działa dobrze dla wielu serwerów i dobrze się skaluje. StartTLS może służyć do zabezpieczenia komunikacji LDAP. OpenLDAP rośnie dobrze obsługiwany i bardziej dojrzały. Replikacja master-master jest dostępna dla redundancji. Użyłem Gosa jako interfejsu administracyjnego.

Nadal nie zadałem sobie trudu ograniczania dostępu na serwer, ale obiekt już istnieje.

Możesz także spojrzeć na udostępnione katalogi domowe za pomocą autofs lub innego mechanizmu montowania w sieci. Prawdopodobnie nie będziesz chciał dodać modułu pam, który tworzy brakujące katalogi domowe przy pierwszym logowaniu.

Chociaż NIS (inaczej żółte strony) jest dojrzały, ma również pewne zgłoszone problemy z bezpieczeństwem.

BillThor
źródło
0

Jeśli szukasz prostego rozwiązania dla swojej sieci lokalnej, usługa informacyjna sieci Sun'S jest wygodna i działa już od dłuższego czasu. Ten i ten link opisują sposób konfigurowania instancji serwera i klienta. Usługi LDAP, takie jak opisane tutaj , mogą również zapewniać scentralizowaną administrację, którą chcesz.

To powiedziawszy, jeśli potrzebujesz wyższego poziomu bezpieczeństwa, możesz wybrać inne pakiety. TLS / SSL nie będzie działać przy pierwszym logowaniu, chyba że masz oddzielne klucze / karty inteligentne lub coś podobnego. Kerberos może pomóc, ale wymaga bezpiecznego, zaufanego serwera. Jakie są twoje potrzeby

mpez0
źródło
Cóż, teraz moje potrzeby dotyczą wyłącznie centralnego serwera uwierzytelniającego, więc muszę zmienić hasło tylko w jednym miejscu zamiast na każdym serwerze. Ale chciałbym mieć rozwiązanie, które dobrze się skaluje, więc kiedy potrzebuję bardziej szczegółowej kontroli dostępu, mogę je łatwo dodać. Właśnie dlatego patrzyłem na LDAP w przeciwieństwie do NIS.
Chris McBride,
Myślę, że Chris odnosił się do TLS / SSL tylko do szyfrowania ruchu sieciowego między klientem LDAP a serwerem. W takim przypadku nie potrzebujesz dodatkowego sprzętu.
Jeff Strunk
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.