Phương thức xác thực / ủy quyền trung tâm Linux


14

Tôi có một mạng lưới máy chủ Linux nhỏ nhưng đang phát triển. Lý tưởng nhất là tôi muốn một vị trí trung tâm để kiểm soát Quyền truy cập của người dùng, thay đổi mật khẩu, v.v ... Tôi đã đọc rất nhiều về máy chủ LDAP, nhưng tôi vẫn bối rối về việc chọn phương thức xác thực tốt nhất. TLS / SSL có đủ tốt không? Lợi ích của Kerberos là gì? GSSAPI là gì? V.v ... Tôi chưa tìm thấy một hướng dẫn rõ ràng giải thích những ưu / nhược điểm của các phương pháp khác nhau này. Cảm ơn vì bất kì sự giúp đỡ.


Đừng quên NIS. Nó có thể cũ, nhưng nó vẫn được sử dụng rộng rãi vì một lý do.
MadHatter

Tôi nghĩ lý do đó có thể là các thiết bị và hệ điều hành khác không hỗ trợ đầy đủ LDAP. Nếu bạn có một cửa hàng 100% Linux, thì LDAP là cách tốt nhất. Solaris gặp khó khăn khi nói chuyện với OpenLDAP bằng cách sử dụng OpenSSL để mã hóa. FreeBSD không thể sử dụng các nhóm net trên LDAP. Bạn luôn có thể thiết lập cổng NIS cho dữ liệu không xác thực cần thiết bởi các hệ thống không tương thích.
Jeff Strunk

@MadHatter Tôi khá chắc chắn rằng lý do NIS vẫn được sử dụng được gọi là "Quán tính".
Magellan

Câu trả lời:


4

Đối với vấn đề này, FreeIPA là giải pháp FOSS "tốt nhất" hiện có.

Vì bạn mới bắt đầu tìm hiểu về phạm vi vấn đề của mình, bạn nên thực hiện nghiên cứu trước khi thử chơi với FreeIPA.


3

Mã hóa TLS đủ tốt để bảo mật việc truyền mật khẩu từ máy khách đến máy chủ được cung cấp như sau:

  • ACL của máy chủ LDAP của bạn hạn chế quyền truy cập vào băm mật khẩu.
  • Khóa riêng của máy chủ của bạn không bao giờ bị xâm phạm.

Xác thực đơn giản được mã hóa TLS là phương pháp xác thực an toàn đơn giản nhất để thiết lập. Hầu hết các hệ thống hỗ trợ này. Điều kiện tiên quyết duy nhất mà hệ thống khách hàng của bạn có là nhận được một bản sao chứng chỉ của cơ quan cấp chứng chỉ SSL.

Kerberos chủ yếu hữu ích nếu bạn muốn có một dấu hiệu duy nhất trên hệ thống cho các máy trạm của bạn. Sẽ thật tuyệt khi có thể đăng nhập một lần và có quyền truy cập vào các dịch vụ web, email IMAP và shell từ xa mà không cần nhập lại mật khẩu của bạn. Thật không may, có một lựa chọn hạn chế của khách hàng cho các dịch vụ kerberized. Internet Explorer là trình duyệt duy nhất. ktelnet là vỏ từ xa của bạn.

Bạn vẫn có thể muốn mã hóa lưu lượng truy cập đến máy chủ LDAP đã được mã hóa và các dịch vụ khác bằng TLS / SSL để ngăn chặn lưu lượng truy cập.

GSSAPI là một giao thức được tiêu chuẩn hóa để xác thực bằng cách sử dụng các đầu cuối như Kerberos.


2

LDAP hoạt động tốt cho nhiều máy chủ và quy mô tốt. startTLS có thể được sử dụng để bảo mật thông tin liên lạc LDAP. OpenLDAP đang tăng được hỗ trợ tốt và trưởng thành hơn. Bản sao chính chủ có sẵn để dự phòng. Tôi đã sử dụng Gosa như một giao diện hành chính.

Tôi vẫn không bận tâm đến việc giới hạn quyền truy cập trên mỗi máy chủ, nhưng cơ sở vẫn ở đó.

Bạn cũng có thể muốn xem các thư mục nhà được chia sẻ bằng cách sử dụng tự động hoặc một số cơ chế gắn kết mạng khác. Nó không phải là bạn có thể muốn thêm mô-đun pam tạo thư mục nhà bị thiếu trong lần đăng nhập đầu tiên.

Trong khi NIS (còn gọi là trang vàng) đã trưởng thành, nó cũng có một số vấn đề bảo mật được báo cáo.


0

Nếu bạn đang tìm kiếm một giải pháp đơn giản cho mạng cục bộ của mình, Dịch vụ thông tin mạng của Sun rất tiện lợi và đã có từ lâu. Liên kết nàyliên kết này mô tả cách thiết lập cả phiên bản máy chủ và máy khách. Các dịch vụ LDAP, như được mô tả ở đây , cũng có thể cung cấp quản trị tập trung mà bạn muốn.

Điều đó nói rằng, nếu bạn cần mức độ bảo mật cao hơn, bạn có thể muốn đi với các gói khác. TLS / SSL sẽ không hoạt động để đăng nhập ban đầu trừ khi bạn có khóa / thẻ thông minh riêng biệt hoặc một cái gì đó tương tự. Kerberos có thể giúp đỡ, nhưng yêu cầu một máy chủ an toàn, đáng tin cậy. Nhu cầu của bạn là gì?


Ngay bây giờ nhu cầu của tôi hoàn toàn dành cho một máy chủ xác thực trung tâm, vì vậy tôi chỉ phải thay đổi mật khẩu ở một nơi thay vì mọi máy chủ. Nhưng tôi muốn một giải pháp mở rộng tốt để khi tôi cần các điều khiển truy cập chi tiết hơn, tôi có thể dễ dàng thêm nó. Đó là lý do tại sao tôi đã xem LDAP trái ngược với NIS.
Chris McBride

Tôi nghĩ rằng Chris đã chỉ đề cập đến TLS / SSL để mã hóa lưu lượng mạng giữa máy khách và máy chủ LDAP. Trong trường hợp đó, bạn không cần thêm bất kỳ phần cứng nào.
Jeff Strunk
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.