Métodos de autenticação / autorização central do Linux

14

Eu tenho uma rede pequena, mas crescente, de servidores Linux. Idealmente, eu gostaria de um local central para controlar o acesso do usuário, alterar senhas, etc ... Eu li muito sobre servidores LDAP, mas ainda estou confuso sobre a escolha do melhor método de autenticação. TLS / SSL é bom o suficiente? Quais são os benefícios do Kerberos? O que é GSSAPI? Etc ... Não encontrei um guia claro que explique os prós / contras desses diferentes métodos. Obrigado por qualquer ajuda.

Chris McBride
fonte
Não se esqueça do NIS. Pode ser antigo, mas ainda é amplamente utilizado por um motivo.
21411 MadHatter
Eu acho que esse motivo pode ser dispositivos e outros sistemas operacionais que não oferecem suporte completo ao LDAP. Se você tem uma loja 100% Linux, o LDAP é o caminho a seguir. O Solaris tem problemas para conversar com o OpenLDAP usando o OpenSSL para criptografia. O FreeBSD não pode usar grupos de rede sobre LDAP. Você sempre pode configurar um gateway NIS para dados de não autenticação necessários para sistemas incompatíveis.
Jeff Strunk
@ MadHatter Tenho certeza de que o motivo pelo qual o NIS ainda é usado é chamado "Inércia".
Magalhães

Respostas:

4

Para esse problema, o FreeIPA é a "melhor" solução de software livre disponível no mercado.

Como você está começando a aprender sobre o escopo do seu problema, faça sua pesquisa antes de tentar jogar com o FreeIPA.

Agora não
fonte
3

A criptografia TLS é boa o suficiente para proteger a transmissão de senhas dos clientes para o servidor, considerando o seguinte:

  • As ACLs do servidor LDAP restringem adequadamente o acesso aos hashes de senha.
  • A chave privada do seu servidor nunca é comprometida.

A autenticação simples criptografada TLS é o método mais simples de autenticação segura para configurar. A maioria dos sistemas suporta isso. O único pré-requisito que seus sistemas clientes têm é obter uma cópia do certificado da sua autoridade de certificação SSL.

O Kerberos é útil principalmente se você deseja um sistema de logon único para suas estações de trabalho. Seria bom poder efetuar login uma vez e ter acesso a serviços web, email IMAP e shells remotos sem inserir sua senha novamente. Infelizmente, há uma seleção limitada de clientes para serviços kerberizados. Internet Explorer é o único navegador. O ktelnet é seu shell remoto.

Você ainda pode querer criptografar o tráfego para o servidor LDAP Kerberizado e outros serviços com TLS / SSL para impedir a detecção de tráfego.

O GSSAPI é um protocolo padronizado para autenticação usando back-ends como o Kerberos.

Jeff Strunk
fonte
2

O LDAP funciona bem para vários servidores e dimensiona bem. O startTLS pode ser usado para proteger as comunicações LDAP. O OpenLDAP está aumentando bem suportado e mais maduro. A replicação mestre-mestre está disponível para redunância. Eu usei o Gosa como uma interface administrativa.

Ainda não me incomodei em limitar o acesso por servidor, mas o recurso está lá.

Você também pode procurar diretórios pessoais compartilhados usando autofs ou algum outro mecanismo de montagem em rede. Não é provável que você queira adicionar o módulo pam que cria diretórios pessoais ausentes no primeiro login.

Embora o NIS (também conhecido como páginas amarelas) esteja maduro, ele também apresenta alguns problemas de segurança relatados.

BillThor
fonte
0

Se você está procurando uma solução simples para sua rede local, o Serviço de Informações de Rede da Sun é conveniente e existe há muito tempo. Este link e este descrevem como configurar as instâncias do servidor e do cliente. Serviços LDAP, como descrito aqui , também podem fornecer a administração centralizada.

Dito isto, se você precisar de níveis mais altos de segurança, convém usar outros pacotes. O TLS / SSL não funcionará para o login inicial, a menos que você tenha dongles / smartcards separados ou algo semelhante. O Kerberos pode ajudar, mas requer um servidor seguro e confiável. Quais são as suas necessidades?

mpez0
fonte
Bem, no momento, minhas necessidades são estritamente para um servidor de autenticação central, portanto, só preciso alterar uma senha em um local, em vez de em todos os servidores. Mas eu gostaria de uma solução que dimensione bem, então, quando eu precisar de controles de acesso mais granulares, posso adicioná-la facilmente. É por isso que eu estava olhando para o LDAP em vez do NIS.
21711 Chris McBride
Acho que Chris estava se referindo ao TLS / SSL apenas para criptografar o tráfego de rede entre o cliente e o servidor LDAP. Nesse caso, você não precisa de nenhum hardware extra.
Jeff Strunk