Eu tenho uma rede pequena, mas crescente, de servidores Linux. Idealmente, eu gostaria de um local central para controlar o acesso do usuário, alterar senhas, etc ... Eu li muito sobre servidores LDAP, mas ainda estou confuso sobre a escolha do melhor método de autenticação. TLS / SSL é bom o suficiente? Quais são os benefícios do Kerberos? O que é GSSAPI? Etc ... Não encontrei um guia claro que explique os prós / contras desses diferentes métodos. Obrigado por qualquer ajuda.
linux
authentication
ldap
kerberos
authorization
Chris McBride
fonte
fonte
Respostas:
Para esse problema, o FreeIPA é a "melhor" solução de software livre disponível no mercado.
Como você está começando a aprender sobre o escopo do seu problema, faça sua pesquisa antes de tentar jogar com o FreeIPA.
fonte
A criptografia TLS é boa o suficiente para proteger a transmissão de senhas dos clientes para o servidor, considerando o seguinte:
A autenticação simples criptografada TLS é o método mais simples de autenticação segura para configurar. A maioria dos sistemas suporta isso. O único pré-requisito que seus sistemas clientes têm é obter uma cópia do certificado da sua autoridade de certificação SSL.
O Kerberos é útil principalmente se você deseja um sistema de logon único para suas estações de trabalho. Seria bom poder efetuar login uma vez e ter acesso a serviços web, email IMAP e shells remotos sem inserir sua senha novamente. Infelizmente, há uma seleção limitada de clientes para serviços kerberizados. Internet Explorer é o único navegador. O ktelnet é seu shell remoto.
Você ainda pode querer criptografar o tráfego para o servidor LDAP Kerberizado e outros serviços com TLS / SSL para impedir a detecção de tráfego.
O GSSAPI é um protocolo padronizado para autenticação usando back-ends como o Kerberos.
fonte
O LDAP funciona bem para vários servidores e dimensiona bem. O startTLS pode ser usado para proteger as comunicações LDAP. O OpenLDAP está aumentando bem suportado e mais maduro. A replicação mestre-mestre está disponível para redunância. Eu usei o Gosa como uma interface administrativa.
Ainda não me incomodei em limitar o acesso por servidor, mas o recurso está lá.
Você também pode procurar diretórios pessoais compartilhados usando autofs ou algum outro mecanismo de montagem em rede. Não é provável que você queira adicionar o módulo pam que cria diretórios pessoais ausentes no primeiro login.
Embora o NIS (também conhecido como páginas amarelas) esteja maduro, ele também apresenta alguns problemas de segurança relatados.
fonte
Se você está procurando uma solução simples para sua rede local, o Serviço de Informações de Rede da Sun é conveniente e existe há muito tempo. Este link e este descrevem como configurar as instâncias do servidor e do cliente. Serviços LDAP, como descrito aqui , também podem fornecer a administração centralizada.
Dito isto, se você precisar de níveis mais altos de segurança, convém usar outros pacotes. O TLS / SSL não funcionará para o login inicial, a menos que você tenha dongles / smartcards separados ou algo semelhante. O Kerberos pode ajudar, mas requer um servidor seguro e confiável. Quais são as suas necessidades?
fonte