Phương thức xác thực / ủy quyền trung tâm Linux

Tôi có một mạng lưới máy chủ Linux nhỏ nhưng đang phát triển. Lý tưởng nhất là tôi muốn một vị trí trung tâm để kiểm soát Quyền truy cập của người dùng, thay đổi mật khẩu, v.v ... Tôi đã đọc rất nhiều về máy chủ LDAP, nhưng tôi vẫn bối rối về việc chọn phương thức xác thực tốt nhất. TLS / SSL có đủ tốt không? Lợi ích của Kerberos là gì? GSSAPI là gì? V.v ... Tôi chưa tìm thấy một hướng dẫn rõ ràng giải thích những ưu / nhược điểm của các phương pháp khác nhau này. Cảm ơn vì bất kì sự giúp đỡ.

Đối với vấn đề này, FreeIPA là giải pháp FOSS "tốt nhất" hiện có.

Vì bạn mới bắt đầu tìm hiểu về phạm vi vấn đề của mình, bạn nên thực hiện nghiên cứu trước khi thử chơi với FreeIPA.

Mã hóa TLS đủ tốt để bảo mật việc truyền mật khẩu từ máy khách đến máy chủ được cung cấp như sau:

• ACL của máy chủ LDAP của bạn hạn chế quyền truy cập vào băm mật khẩu.
• Khóa riêng của máy chủ của bạn không bao giờ bị xâm phạm.

Xác thực đơn giản được mã hóa TLS là phương pháp xác thực an toàn đơn giản nhất để thiết lập. Hầu hết các hệ thống hỗ trợ này. Điều kiện tiên quyết duy nhất mà hệ thống khách hàng của bạn có là nhận được một bản sao chứng chỉ của cơ quan cấp chứng chỉ SSL.

Kerberos chủ yếu hữu ích nếu bạn muốn có một dấu hiệu duy nhất trên hệ thống cho các máy trạm của bạn. Sẽ thật tuyệt khi có thể đăng nhập một lần và có quyền truy cập vào các dịch vụ web, email IMAP và shell từ xa mà không cần nhập lại mật khẩu của bạn. Thật không may, có một lựa chọn hạn chế của khách hàng cho các dịch vụ kerberized. Internet Explorer là trình duyệt duy nhất. ktelnet là vỏ từ xa của bạn.

Bạn vẫn có thể muốn mã hóa lưu lượng truy cập đến máy chủ LDAP đã được mã hóa và các dịch vụ khác bằng TLS / SSL để ngăn chặn lưu lượng truy cập.

GSSAPI là một giao thức được tiêu chuẩn hóa để xác thực bằng cách sử dụng các đầu cuối như Kerberos.

LDAP hoạt động tốt cho nhiều máy chủ và quy mô tốt. startTLS có thể được sử dụng để bảo mật thông tin liên lạc LDAP. OpenLDAP đang tăng được hỗ trợ tốt và trưởng thành hơn. Bản sao chính chủ có sẵn để dự phòng. Tôi đã sử dụng Gosa như một giao diện hành chính.

Tôi vẫn không bận tâm đến việc giới hạn quyền truy cập trên mỗi máy chủ, nhưng cơ sở vẫn ở đó.

Bạn cũng có thể muốn xem các thư mục nhà được chia sẻ bằng cách sử dụng tự động hoặc một số cơ chế gắn kết mạng khác. Nó không phải là bạn có thể muốn thêm mô-đun pam tạo thư mục nhà bị thiếu trong lần đăng nhập đầu tiên.

Trong khi NIS (còn gọi là trang vàng) đã trưởng thành, nó cũng có một số vấn đề bảo mật được báo cáo.

Nếu bạn đang tìm kiếm một giải pháp đơn giản cho mạng cục bộ của mình, Dịch vụ thông tin mạng của Sun rất tiện lợi và đã có từ lâu. Liên kết này và liên kết này mô tả cách thiết lập cả phiên bản máy chủ và máy khách. Các dịch vụ LDAP, như được mô tả ở đây , cũng có thể cung cấp quản trị tập trung mà bạn muốn.

Điều đó nói rằng, nếu bạn cần mức độ bảo mật cao hơn, bạn có thể muốn đi với các gói khác. TLS / SSL sẽ không hoạt động để đăng nhập ban đầu trừ khi bạn có khóa / thẻ thông minh riêng biệt hoặc một cái gì đó tương tự. Kerberos có thể giúp đỡ, nhưng yêu cầu một máy chủ an toàn, đáng tin cậy. Nhu cầu của bạn là gì?