Ich habe ein kleines, aber wachsendes Netzwerk von Linux-Servern. Idealerweise hätte ich gerne einen zentralen Ort, um den Benutzerzugriff zu steuern, Kennwörter zu ändern usw. Ich habe viel über LDAP-Server gelesen, bin aber immer noch verwirrt über die Wahl der besten Authentifizierungsmethode. Ist TLS / SSL gut genug? Was sind die Vorteile von Kerberos? Was ist GSSAPI? Usw. Ich habe keine klare Anleitung gefunden, die die Vor- und Nachteile dieser verschiedenen Methoden erklärt. Vielen Dank für jede Hilfe.
linux
authentication
ldap
kerberos
authorization
Chris McBride
quelle
quelle
Antworten:
Für dieses Problem ist FreeIPA die "beste" FOSS-Lösung.
Da Sie gerade erst anfangen, sich über den Umfang Ihres Problems zu informieren, sollten Sie Ihre Recherchen durchführen, bevor Sie versuchen, mit FreeIPA zu spielen.
quelle
Die TLS-Verschlüsselung ist ausreichend, um die Übertragung von Kennwörtern von den Clients an den Server unter folgenden Bedingungen zu gewährleisten:
Die TLS-verschlüsselte einfache Authentifizierung ist die einfachste Methode zur Einrichtung einer sicheren Authentifizierung. Die meisten Systeme unterstützen dies. Die einzige Voraussetzung für Ihre Client-Systeme ist, dass Sie eine Kopie des Zertifikats Ihrer SSL-Zertifizierungsstelle erhalten.
Kerberos ist vor allem dann nützlich, wenn Sie ein Single Sign-On-System für Ihre Workstations benötigen. Es wäre schön, wenn Sie sich einmal anmelden und auf Webdienste, IMAP-E-Mails und Remote-Shells zugreifen könnten, ohne Ihr Kennwort erneut eingeben zu müssen. Leider gibt es eine begrenzte Auswahl an Clients für kerberisierte Services. Der Internet Explorer ist der einzige Browser. ktelnet ist Ihre Remote-Shell.
Möglicherweise möchten Sie weiterhin den Datenverkehr zu Ihrem kerberisierten LDAP-Server und anderen Diensten mit TLS / SSL verschlüsseln, um das Abhören des Datenverkehrs zu verhindern.
GSSAPI ist ein standardisiertes Protokoll zur Authentifizierung mithilfe von Backends wie Kerberos.
quelle
LDAP funktioniert gut für mehrere Server und lässt sich gut skalieren. Mit startTLS kann die LDAP-Kommunikation gesichert werden. OpenLDAP wird immer besser unterstützt und ausgereifter. Die Master-Master-Replikation ist für die Redunanz verfügbar. Ich habe Gosa als Verwaltungsschnittstelle verwendet.
Ich habe mich immer noch nicht darum gekümmert, den Zugriff pro Server einzuschränken, aber die Einrichtung ist da.
Möglicherweise möchten Sie auch freigegebene Basisverzeichnisse mit Hilfe von Autofs oder einem anderen Netzwerk-Mount-Mechanismus anzeigen. Es ist unwahrscheinlich, dass Sie das Pam-Modul hinzufügen möchten, das bei der ersten Anmeldung fehlende Home-Verzeichnisse erstellt.
NIS (auch bekannt als Yellowpages) ist zwar ausgereift, es wurden jedoch auch einige Sicherheitsprobleme gemeldet.
quelle
Wenn Sie nach einer einfachen Lösung für Ihr lokales Netzwerk suchen, ist Sun'S Network Information Service praktisch und es gibt ihn schon seit langer Zeit. Dieser und dieser Link beschreiben, wie sowohl die Server- als auch die Client-Instanz eingerichtet werden. LDAP-Dienste, wie hier beschrieben , können auch die von Ihnen gewünschte zentrale Verwaltung bereitstellen.
Das heißt, wenn Sie ein höheres Sicherheitsniveau benötigen, möchten Sie möglicherweise mit anderen Paketen arbeiten. TLS / SSL funktioniert bei der erstmaligen Anmeldung nur, wenn Sie über separate Dongles / Smartcards oder ähnliches verfügen. Kerberos kann helfen, erfordert jedoch einen gesicherten, vertrauenswürdigen Server. Was sind Ihre Bedürfnisse?
quelle