Linux Central Authentication / Authorization Method

14

ฉันมีเครือข่ายเซิร์ฟเวอร์ลินุกซ์ขนาดเล็ก แต่กำลังเติบโต เป็นการดีที่ฉันต้องการเป็นศูนย์กลางในการควบคุมการเข้าถึงของผู้ใช้เปลี่ยนรหัสผ่าน ฯลฯ ... ฉันได้อ่านเกี่ยวกับเซิร์ฟเวอร์ LDAP มากมาย แต่ฉันก็ยังสับสนเกี่ยวกับการเลือกวิธีการรับรองความถูกต้องที่ดีที่สุด TLS / SSL ดีเพียงพอหรือไม่ Kerberos มีประโยชน์อย่างไร? GSSAPI คืออะไร อื่น ๆ ... ฉันไม่พบคำแนะนำที่ชัดเจนที่อธิบายข้อดี / ข้อเสียของวิธีการต่าง ๆ เหล่านี้ ขอบคุณสำหรับความช่วยเหลือ

— Chris McBride
แหล่งที่มา

อย่าลืม NIS มันอาจจะเก่า แต่ก็ยังใช้กันอย่างแพร่หลายด้วยเหตุผล

— MadHatter

ฉันคิดว่าเหตุผลอาจเป็นอุปกรณ์และระบบปฏิบัติการอื่น ๆ ที่ไม่สนับสนุน LDAP อย่างสมบูรณ์ หากคุณมีร้านค้าลีนุกซ์ 100% แสดงว่า LDAP เป็นหนทางไป Solaris มีปัญหาในการพูดคุยกับ OpenLDAP โดยใช้ OpenSSL เพื่อเข้ารหัส FreeBSD ไม่สามารถใช้ netgroups ผ่าน LDAP ได้ คุณสามารถตั้งค่าเกตเวย์ NIS สำหรับข้อมูลที่ไม่ใช่การตรวจสอบสิทธิ์ที่จำเป็นสำหรับระบบที่เข้ากันไม่ได้เสมอ

— Jeff Strunk

@ MadHatter ฉันค่อนข้างแน่ใจว่าเหตุผล NIS ยังคงใช้เรียกว่า "Inertia"

— Magellan

4

สำหรับปัญหานี้FreeIPAเป็นทางออกที่ดีที่สุดสำหรับ FOSS

เนื่องจากคุณเพิ่งเริ่มเรียนรู้เกี่ยวกับขอบเขตของปัญหาของคุณคุณควรทำวิจัยของคุณก่อนที่จะพยายามเล่นกับ FreeIPA

— ไม่ใช่ตอนนี้
แหล่งที่มา

3

การเข้ารหัส TLS นั้นดีพอที่จะรักษาความปลอดภัยในการส่งรหัสผ่านจากไคลเอนต์ไปยังเซิร์ฟเวอร์ที่ระบุไว้ดังต่อไปนี้:

ACL ของเซิร์ฟเวอร์ LDAP ของคุณ จำกัด การเข้าถึงแฮชของรหัสผ่านอย่างเหมาะสม
คีย์ส่วนตัวของเซิร์ฟเวอร์ของคุณจะไม่ถูกทำลาย

การพิสูจน์ตัวตนแบบธรรมดาที่เข้ารหัส TLS เป็นวิธีที่ง่ายที่สุดในการตั้งค่าการตรวจสอบความปลอดภัย ระบบส่วนใหญ่รองรับสิ่งนี้ สิ่งที่จำเป็นต้องมีสำหรับระบบไคลเอ็นต์ของคุณคือการรับสำเนาใบรับรองของผู้ออกใบรับรอง SSL ของคุณ

Kerberos มีประโยชน์เป็นหลักหากคุณต้องการระบบลงชื่อเพียงครั้งเดียวสำหรับเวิร์กสเตชันของคุณ จะเป็นการดีถ้าคุณสามารถเข้าสู่ระบบได้ในครั้งเดียวและสามารถเข้าถึงบริการเว็บอีเมล IMAP และเชลล์ระยะไกลโดยไม่ต้องป้อนรหัสผ่านของคุณอีกครั้ง น่าเสียดายที่มีตัวเลือกลูกค้าจำนวน จำกัด สำหรับบริการ kerberized Internet Explorer เป็นเบราว์เซอร์เดียวเท่านั้น ktelnet คือเปลือกระยะไกลของคุณ

คุณยังอาจต้องการเข้ารหัสปริมาณการใช้งานไปยังเซิร์ฟเวอร์ LDAP ที่ใช้ kerberized และบริการอื่น ๆ ด้วย TLS / SSL เพื่อป้องกันการดักจับการรับส่งข้อมูล

GSSAPIเป็นโปรโตคอลมาตรฐานสำหรับการตรวจสอบสิทธิ์โดยใช้แบ็คเอนด์เช่น Kerberos

— Jeff Strunk
แหล่งที่มา

2

LDAP ใช้งานได้ดีสำหรับเซิร์ฟเวอร์หลายเครื่องและปรับขนาดได้ดี startTLS สามารถใช้เพื่อรักษาความปลอดภัยการสื่อสาร LDAP OpenLDAP ได้รับการสนับสนุนเพิ่มมากขึ้นและมีความเป็นผู้ใหญ่มากขึ้น การจำลองแบบหลักต้นแบบพร้อมใช้งานสำหรับการ redunancy ฉันใช้ Gosa เป็นส่วนต่อประสานผู้ดูแลระบบ

ฉันยังไม่ได้ จำกัด การเข้าถึงต่อเซิร์ฟเวอร์ แต่มีสิ่งอำนวยความสะดวกที่นั่น

คุณอาจต้องการดูโฮมไดเร็กตอรี่ที่แชร์โดยใช้ autofs หรือกลไกเชื่อมต่อเครือข่ายอื่น ๆ ไม่ใช่คุณอาจต้องการเพิ่มโมดูล pam ที่สร้างโฮมไดเรกทอรีที่ขาดหายไปในการเข้าสู่ระบบครั้งแรก

ในขณะที่ NIS (หรือที่เรียกว่าสมุดหน้าเหลือง) ถึงกำหนดแล้ว แต่ก็มีรายงานความปลอดภัยบางส่วนด้วย

— BillThor
แหล่งที่มา

0

หากคุณกำลังมองหาวิธีการแก้ปัญหาที่ตรงไปตรงมาสำหรับเครือข่ายท้องถิ่นของคุณบริการข้อมูลเครือข่ายของซันมีความสะดวกสบายและใช้งานได้ยาวนาน ลิงค์นี้และอันนี้อธิบายวิธีตั้งค่าอินสแตนซ์ของเซิร์ฟเวอร์และไคลเอนต์ บริการ LDAP เช่นที่อธิบายที่นี่สามารถให้การดูแลจากส่วนกลางที่คุณต้องการได้เช่นกัน

ที่กล่าวว่าหากคุณต้องการระดับความปลอดภัยที่สูงขึ้นคุณอาจต้องไปกับแพ็คเกจอื่น ๆ TLS / SSL จะไม่ทำงานสำหรับการลงชื่อเข้าใช้ครั้งแรกยกเว้นว่าคุณมีดองเกิล / สมาร์ทการ์ดแยกต่างหากหรือบางอย่างที่คล้ายกัน Kerberos สามารถช่วยได้ แต่ต้องการเซิร์ฟเวอร์ที่ปลอดภัยและเชื่อถือได้ คุณต้องการอะไร?

— mpez0
แหล่งที่มา

ตอนนี้ความต้องการของฉันมีไว้สำหรับเซิร์ฟเวอร์การตรวจสอบความถูกต้องส่วนกลางเท่านั้นดังนั้นฉันต้องเปลี่ยนรหัสผ่านในที่เดียวแทนที่จะเป็นเซิร์ฟเวอร์ทุกเครื่อง แต่ฉันต้องการโซลูชันที่ปรับขนาดได้ดีเมื่อฉันต้องการการควบคุมการเข้าถึงที่ละเอียดยิ่งขึ้นฉันสามารถเพิ่มได้อย่างง่ายดาย นั่นเป็นเหตุผลที่ฉันดู LDAP เมื่อเทียบกับ NIS

— Chris McBride

ฉันคิดว่า Chris อ้างถึง TLS / SSL เท่านั้นเพื่อเข้ารหัสการรับส่งข้อมูลเครือข่ายระหว่างไคลเอ็นต์ LDAP และเซิร์ฟเวอร์ ในกรณีนี้คุณไม่จำเป็นต้องมีฮาร์ดแวร์เพิ่มเติม

— Jeff Strunk