Como os usuários podem efetuar login quando o LDAP está inativo?

Navegue suas respostas
1

Se um servidor linux usa LDAP para autenticação, e o servidor LDAP está inativo por algum motivo, como os usuários podem entrar?

Eu acho que a resposta é que eles não podem? Então, suponho que o que estou realmente perguntando é o que os administradores de sistemas devem fazer para se proteger contra essa situação? Quais são as melhores práticas?

Minha situação particular é que temos um pequeno grupo de desenvolvedores trabalhando em um pequeno número de servidores. Contas de usuários individuais em cada servidor estão se tornando um incômodo, por isso estamos olhando para implementar a autenticação centralizada via LDAP. Estou preocupado com o cenário em que algum problema em nosso servidor LDAP significa que ninguém pode fazer login em nada. Então, estou tentando descobrir o que devemos fazer sobre isso.

Meus pensamentos até agora:

  • Ter vários servidores LDAP replicados para que não tenhamos um único ponto de falha parece ser uma boa ideia, mas isso adicionará muita complexidade que realmente queremos evitar.
  • Devemos nos certificar de que há sempre um usuário configurado localmente em cada servidor que poderíamos usar como back door se o LDAP não estiver funcionando? Isso é um sério compromisso de segurança?
  • Os usuários veriam alguma diferença entre o servidor LDAP sendo desativado e apenas inserindo a senha errada?
por Daniel Howard 04.12.2016 / 12:45

1 resposta

6

  • O Linux (como o Windows com AD) tem a capacidade de armazenar em log logins bem-sucedidos e pode usar esse cache no caso de uma interrupção LDAP (isso é feito via SSSD ou nscd - se você estiver no RHEL / CentOS / Fedora , Eu recomendo usar SSSD). Naturalmente, isso funciona somente se o usuário tiver efetuado login com êxito recentemente nessa máquina. Além disso, é claro, isso não funciona para serviços que não usam o PAM, mas que usam um servidor LDAP diretamente para autenticar, por exemplo, algum serviço da web.

  • Adicionando replicação em uma configuração tão simples não é muito difícil e eu não acredito que acrescenta muita complexidade, mas a resiliência adicionada vale bem o esforço na minha opinião.

  • Ter um usuário local em funcionamento com sudo direitos é obrigatório na minha opinião, mesmo com o cache (no mínimo, se você ativar o login raiz via ssh).
  • Se os usuários perceberem que uma diferença depende da implementação do cliente. Com o PAM e o armazenamento em cache, os usuários nem notariam, a menos que o usuário não esteja no cache (o que seria uma senha incorreta até você examinar os logs).
por 04.12.2016 / 13:05

Tags

AWS EBS snapshot. A consistência do FileSystem REALMENTE é necessária? Onde redirecionar HTTPS em uma configuração do WordPress LAMP? [fechadas]