Autenticação Central Linux / Métodos de Autorização

13

Eu tenho uma pequena mas crescente rede de servidores Linux. Idealmente eu gostaria de um lugar central para controlar o acesso do usuário, alterar senhas, etc ... Eu li muito sobre servidores LDAP, mas eu ainda estou confuso sobre como escolher o melhor método de autenticação. O TLS / SSL é bom o suficiente? Quais são os benefícios do Kerberos? O que é GSSAPI? Etc ... eu não encontrei um guia claro que explica os prós / contras desses diferentes métodos. Obrigado por qualquer ajuda.

    
por Chris McBride 14.02.2011 / 17:05

4 respostas

4

Para este problema, FreeIPA é a melhor solução FOSS disponível.

Como você está apenas começando a aprender sobre o escopo do seu problema, faça sua pesquisa antes de tentar jogar com o FreeIPA.

    
por 15.02.2011 / 01:49
3

A criptografia TLS é boa o suficiente para garantir a transmissão de senhas dos clientes para o servidor, de acordo com o seguinte:

  • As ACLs do seu servidor LDAP restringem adequadamente o acesso a hashes de senha.
  • A chave privada do seu servidor nunca é comprometida.

A autenticação simples criptografada por TLS é o método mais simples de autenticação segura para configuração. A maioria dos sistemas suporta isso. O único pré-requisito que seus sistemas clientes têm é obter uma cópia do certificado de sua autoridade de certificação SSL.

O Kerberos é útil principalmente se você quiser um sistema de login único para suas estações de trabalho. Seria bom poder efetuar login uma vez e ter acesso a serviços da Web, email IMAP e shells remotos sem digitar sua senha novamente. Infelizmente, há uma seleção limitada de clientes para serviços kerberizados. O Internet Explorer é o único navegador. O ktelnet é o seu shell remoto.

Você ainda pode querer criptografar o tráfego para o seu servidor LDAP kerberizado e outros serviços com TLS / SSL para evitar o sniffing de tráfego.

GSSAPI é um protocolo padronizado para autenticação usando back ends como o Kerberos.

    
por 15.02.2011 / 09:48
2

O LDAP funciona bem para vários servidores e dimensiona bem. startTLS pode ser usado para proteger as comunicações LDAP. O OpenLDAP está aumentando bem com suporte e mais maduro. A replicação master-master está disponível para redunancy. Eu usei o Gosa como uma interface administrativa.

Ainda não me incomodei em limitar o acesso por servidor, mas a instalação está lá.

Você também pode querer ver os diretórios home compartilhados usando o autofs ou algum outro mecanismo de montagem de rede. Não é provável que você queira adicionar o módulo pam que cria diretórios iniciais ausentes no primeiro login.

Enquanto o NIS (aka yellowpages) está maduro, ele também tem alguns problemas de segurança relatados.

    
por 14.02.2011 / 19:50
0

Se você está procurando uma solução simples para sua rede local, o Serviço de Informações de Rede da Sun é conveniente e existe há muito tempo. Este link e este descreve como configurar as instâncias do servidor e do cliente. Os serviços LDAP, como descritos aqui , podem fornecer a administração centralizada que você deseja também.

Dito isto, se você precisa de níveis mais altos de segurança, você pode querer ir com outros pacotes. O TLS / SSL não funcionará para o login inicial, a menos que você tenha dongles / smartcards separados ou algo similar. O Kerberos pode ajudar, mas requer um servidor seguro e confiável. Quais são suas necessidades?

    
por 14.02.2011 / 17:40