Métodos de autenticação / autorização central do Linux

Eu tenho uma rede pequena, mas crescente, de servidores Linux. Idealmente, eu gostaria de um local central para controlar o acesso do usuário, alterar senhas, etc ... Eu li muito sobre servidores LDAP, mas ainda estou confuso sobre a escolha do melhor método de autenticação. TLS / SSL é bom o suficiente? Quais são os benefícios do Kerberos? O que é GSSAPI? Etc ... Não encontrei um guia claro que explique os prós / contras desses diferentes métodos. Obrigado por qualquer ajuda.

Para esse problema, o FreeIPA é a "melhor" solução de software livre disponível no mercado.

Como você está começando a aprender sobre o escopo do seu problema, faça sua pesquisa antes de tentar jogar com o FreeIPA.

A criptografia TLS é boa o suficiente para proteger a transmissão de senhas dos clientes para o servidor, considerando o seguinte:

• As ACLs do servidor LDAP restringem adequadamente o acesso aos hashes de senha.
• A chave privada do seu servidor nunca é comprometida.

A autenticação simples criptografada TLS é o método mais simples de autenticação segura para configurar. A maioria dos sistemas suporta isso. O único pré-requisito que seus sistemas clientes têm é obter uma cópia do certificado da sua autoridade de certificação SSL.

O Kerberos é útil principalmente se você deseja um sistema de logon único para suas estações de trabalho. Seria bom poder efetuar login uma vez e ter acesso a serviços web, email IMAP e shells remotos sem inserir sua senha novamente. Infelizmente, há uma seleção limitada de clientes para serviços kerberizados. Internet Explorer é o único navegador. O ktelnet é seu shell remoto.

Você ainda pode querer criptografar o tráfego para o servidor LDAP Kerberizado e outros serviços com TLS / SSL para impedir a detecção de tráfego.

O GSSAPI é um protocolo padronizado para autenticação usando back-ends como o Kerberos.

O LDAP funciona bem para vários servidores e dimensiona bem. O startTLS pode ser usado para proteger as comunicações LDAP. O OpenLDAP está aumentando bem suportado e mais maduro. A replicação mestre-mestre está disponível para redunância. Eu usei o Gosa como uma interface administrativa.

Ainda não me incomodei em limitar o acesso por servidor, mas o recurso está lá.

Você também pode procurar diretórios pessoais compartilhados usando autofs ou algum outro mecanismo de montagem em rede. Não é provável que você queira adicionar o módulo pam que cria diretórios pessoais ausentes no primeiro login.

Embora o NIS (também conhecido como páginas amarelas) esteja maduro, ele também apresenta alguns problemas de segurança relatados.

Se você está procurando uma solução simples para sua rede local, o Serviço de Informações de Rede da Sun é conveniente e existe há muito tempo. Este link e este descrevem como configurar as instâncias do servidor e do cliente. Serviços LDAP, como descrito aqui , também podem fornecer a administração centralizada.

Dito isto, se você precisar de níveis mais altos de segurança, convém usar outros pacotes. O TLS / SSL não funcionará para o login inicial, a menos que você tenha dongles / smartcards separados ou algo semelhante. O Kerberos pode ajudar, mas requer um servidor seguro e confiável. Quais são as suas necessidades?