Saya memiliki jaringan server Linux yang kecil namun terus berkembang. Idealnya saya ingin tempat sentral untuk mengontrol Akses Pengguna, mengubah kata sandi, dll ... Saya sudah membaca banyak tentang server LDAP, tapi saya masih bingung memilih metode otentikasi terbaik. Apakah TLS / SSL cukup baik? Apa manfaat Kerberos? Apa GSSAPI? Dll ... Saya belum menemukan panduan jelas yang menjelaskan pro / kontra dari metode yang berbeda ini. Terima kasih atas bantuannya.
linux
authentication
ldap
kerberos
authorization
Chris McBride
sumber
sumber
Jawaban:
Untuk masalah ini, FreeIPA adalah solusi FOSS "terbaik" di luar sana.
Karena Anda baru mulai belajar tentang ruang lingkup masalah Anda, Anda harus melakukan riset sebelum mencoba bermain dengan FreeIPA.
sumber
Enkripsi TLS cukup baik untuk mengamankan transmisi kata sandi dari klien ke server mengingat hal berikut:
Otentikasi biasa terenkripsi TLS adalah metode paling sederhana untuk mengatur otentikasi aman. Sebagian besar sistem mendukung ini. Satu-satunya prasyarat yang dimiliki sistem klien Anda adalah mendapatkan salinan sertifikat otoritas sertifikat SSL Anda.
Kerberos terutama berguna jika Anda menginginkan sistem masuk tunggal untuk workstation Anda. Alangkah baiknya bisa masuk sekali dan memiliki akses ke layanan web, email IMAP, dan kerang jarak jauh tanpa memasukkan kata sandi Anda lagi. Sayangnya, ada pilihan klien terbatas untuk layanan kerberized. Internet Explorer adalah satu-satunya browser. ktelnet adalah shell jarak jauh Anda.
Anda mungkin masih ingin mengenkripsi lalu lintas ke server LDAP Anda yang rusak dan layanan lain dengan TLS / SSL untuk mencegah mengendus lalu lintas.
GSSAPI adalah protokol standar untuk otentikasi menggunakan ujung belakang seperti Kerberos.
sumber
LDAP bekerja dengan baik untuk banyak server dan skala dengan baik. startTLS dapat digunakan untuk mengamankan komunikasi LDAP. OpenLDAP semakin didukung dengan baik dan lebih matang. Replikasi master-master tersedia untuk redunansi. Saya telah menggunakan Gosa sebagai antarmuka administratif.
Saya masih belum repot-repot membatasi akses per server, tetapi fasilitas itu ada di sana.
Anda mungkin juga ingin melihat direktori home yang dibagikan menggunakan autofs, atau mekanisme pemasangan jaringan lainnya. Kalau tidak, Anda mungkin ingin menambahkan modul pam yang membuat direktori home yang hilang pada login pertama.
Meskipun NIS (alias yellowpages) sudah matang, ia juga memiliki beberapa masalah keamanan yang dilaporkan.
sumber
Jika Anda mencari solusi langsung untuk jaringan lokal Anda, Sun'S Network Information Service nyaman dan telah ada sejak lama. Tautan ini dan yang ini menjelaskan cara mengatur server dan instance klien. Layanan LDAP, seperti dijelaskan di sini , dapat memberikan administrasi terpusat yang Anda inginkan juga.
Yang mengatakan, jika Anda membutuhkan tingkat keamanan yang lebih tinggi, Anda mungkin ingin pergi dengan paket lain. TLS / SSL tidak akan berfungsi untuk login awal kecuali Anda memiliki dongle / smartcard yang terpisah atau yang serupa. Kerberos dapat membantu, tetapi membutuhkan server yang aman dan tepercaya. Apa kebutuhan anda
sumber