Para este problema, FreeIPA é a melhor solução FOSS disponível.
Como você está apenas começando a aprender sobre o escopo do seu problema, faça sua pesquisa antes de tentar jogar com o FreeIPA.
Eu tenho uma pequena mas crescente rede de servidores Linux. Idealmente eu gostaria de um lugar central para controlar o acesso do usuário, alterar senhas, etc ... Eu li muito sobre servidores LDAP, mas eu ainda estou confuso sobre como escolher o melhor método de autenticação. O TLS / SSL é bom o suficiente? Quais são os benefícios do Kerberos? O que é GSSAPI? Etc ... eu não encontrei um guia claro que explica os prós / contras desses diferentes métodos. Obrigado por qualquer ajuda.
Para este problema, FreeIPA é a melhor solução FOSS disponível.
Como você está apenas começando a aprender sobre o escopo do seu problema, faça sua pesquisa antes de tentar jogar com o FreeIPA.
A criptografia TLS é boa o suficiente para garantir a transmissão de senhas dos clientes para o servidor, de acordo com o seguinte:
A autenticação simples criptografada por TLS é o método mais simples de autenticação segura para configuração. A maioria dos sistemas suporta isso. O único pré-requisito que seus sistemas clientes têm é obter uma cópia do certificado de sua autoridade de certificação SSL.
O Kerberos é útil principalmente se você quiser um sistema de login único para suas estações de trabalho. Seria bom poder efetuar login uma vez e ter acesso a serviços da Web, email IMAP e shells remotos sem digitar sua senha novamente. Infelizmente, há uma seleção limitada de clientes para serviços kerberizados. O Internet Explorer é o único navegador. O ktelnet é o seu shell remoto.
Você ainda pode querer criptografar o tráfego para o seu servidor LDAP kerberizado e outros serviços com TLS / SSL para evitar o sniffing de tráfego.
GSSAPI é um protocolo padronizado para autenticação usando back ends como o Kerberos.
O LDAP funciona bem para vários servidores e dimensiona bem. startTLS pode ser usado para proteger as comunicações LDAP. O OpenLDAP está aumentando bem com suporte e mais maduro. A replicação master-master está disponível para redunancy. Eu usei o Gosa como uma interface administrativa.
Ainda não me incomodei em limitar o acesso por servidor, mas a instalação está lá.
Você também pode querer ver os diretórios home compartilhados usando o autofs ou algum outro mecanismo de montagem de rede. Não é provável que você queira adicionar o módulo pam que cria diretórios iniciais ausentes no primeiro login.
Enquanto o NIS (aka yellowpages) está maduro, ele também tem alguns problemas de segurança relatados.
Se você está procurando uma solução simples para sua rede local, o Serviço de Informações de Rede da Sun é conveniente e existe há muito tempo. Este link e este descreve como configurar as instâncias do servidor e do cliente. Os serviços LDAP, como descritos aqui , podem fornecer a administração centralizada que você deseja também.
Dito isto, se você precisa de níveis mais altos de segurança, você pode querer ir com outros pacotes. O TLS / SSL não funcionará para o login inicial, a menos que você tenha dongles / smartcards separados ou algo similar. O Kerberos pode ajudar, mas requer um servidor seguro e confiável. Quais são suas necessidades?