Metode Otentikasi / Otorisasi Pusat Linux

14

Saya memiliki jaringan server Linux yang kecil namun terus berkembang. Idealnya saya ingin tempat sentral untuk mengontrol Akses Pengguna, mengubah kata sandi, dll ... Saya sudah membaca banyak tentang server LDAP, tapi saya masih bingung memilih metode otentikasi terbaik. Apakah TLS / SSL cukup baik? Apa manfaat Kerberos? Apa GSSAPI? Dll ... Saya belum menemukan panduan jelas yang menjelaskan pro / kontra dari metode yang berbeda ini. Terima kasih atas bantuannya.

Chris McBride
sumber
Jangan lupa NIS. Mungkin sudah tua, tetapi masih banyak digunakan karena suatu alasan.
MadHatter
Saya pikir alasannya mungkin peralatan dan sistem operasi lain yang tidak sepenuhnya mendukung LDAP. Jika Anda memiliki 100% toko Linux, maka LDAP adalah cara untuk melakukannya. Solaris kesulitan berbicara dengan OpenLDAP menggunakan OpenSSL untuk enkripsi. FreeBSD tidak dapat menggunakan netgroups melebihi LDAP. Anda selalu dapat mengatur gateway NIS untuk data non-otentikasi yang dibutuhkan oleh sistem yang tidak kompatibel.
Jeff Strunk
@ MadHatter Saya cukup yakin bahwa alasan NIS masih digunakan disebut "Inersia".
Magellan

Jawaban:

4

Untuk masalah ini, FreeIPA adalah solusi FOSS "terbaik" di luar sana.

Karena Anda baru mulai belajar tentang ruang lingkup masalah Anda, Anda harus melakukan riset sebelum mencoba bermain dengan FreeIPA.

Tidak sekarang
sumber
3

Enkripsi TLS cukup baik untuk mengamankan transmisi kata sandi dari klien ke server mengingat hal berikut:

  • ACL server LDAP Anda dengan benar membatasi akses ke hash kata sandi.
  • Kunci pribadi server Anda tidak pernah terganggu.

Otentikasi biasa terenkripsi TLS adalah metode paling sederhana untuk mengatur otentikasi aman. Sebagian besar sistem mendukung ini. Satu-satunya prasyarat yang dimiliki sistem klien Anda adalah mendapatkan salinan sertifikat otoritas sertifikat SSL Anda.

Kerberos terutama berguna jika Anda menginginkan sistem masuk tunggal untuk workstation Anda. Alangkah baiknya bisa masuk sekali dan memiliki akses ke layanan web, email IMAP, dan kerang jarak jauh tanpa memasukkan kata sandi Anda lagi. Sayangnya, ada pilihan klien terbatas untuk layanan kerberized. Internet Explorer adalah satu-satunya browser. ktelnet adalah shell jarak jauh Anda.

Anda mungkin masih ingin mengenkripsi lalu lintas ke server LDAP Anda yang rusak dan layanan lain dengan TLS / SSL untuk mencegah mengendus lalu lintas.

GSSAPI adalah protokol standar untuk otentikasi menggunakan ujung belakang seperti Kerberos.

Jeff Strunk
sumber
2

LDAP bekerja dengan baik untuk banyak server dan skala dengan baik. startTLS dapat digunakan untuk mengamankan komunikasi LDAP. OpenLDAP semakin didukung dengan baik dan lebih matang. Replikasi master-master tersedia untuk redunansi. Saya telah menggunakan Gosa sebagai antarmuka administratif.

Saya masih belum repot-repot membatasi akses per server, tetapi fasilitas itu ada di sana.

Anda mungkin juga ingin melihat direktori home yang dibagikan menggunakan autofs, atau mekanisme pemasangan jaringan lainnya. Kalau tidak, Anda mungkin ingin menambahkan modul pam yang membuat direktori home yang hilang pada login pertama.

Meskipun NIS (alias yellowpages) sudah matang, ia juga memiliki beberapa masalah keamanan yang dilaporkan.

BillThor
sumber
0

Jika Anda mencari solusi langsung untuk jaringan lokal Anda, Sun'S Network Information Service nyaman dan telah ada sejak lama. Tautan ini dan yang ini menjelaskan cara mengatur server dan instance klien. Layanan LDAP, seperti dijelaskan di sini , dapat memberikan administrasi terpusat yang Anda inginkan juga.

Yang mengatakan, jika Anda membutuhkan tingkat keamanan yang lebih tinggi, Anda mungkin ingin pergi dengan paket lain. TLS / SSL tidak akan berfungsi untuk login awal kecuali Anda memiliki dongle / smartcard yang terpisah atau yang serupa. Kerberos dapat membantu, tetapi membutuhkan server yang aman dan tepercaya. Apa kebutuhan anda

mpez0
sumber
Yah sekarang kebutuhan saya hanya untuk server otentikasi pusat, jadi saya hanya perlu mengubah kata sandi di satu tempat, bukan setiap server. Tapi saya ingin solusi yang berskala baik sehingga ketika saya membutuhkan lebih banyak kontrol akses granular, saya dapat dengan mudah menambahkannya. Itulah mengapa saya melihat LDAP sebagai lawan NIS.
Chris McBride
Saya pikir Chris merujuk ke TLS / SSL hanya untuk mengenkripsi lalu lintas jaringan antara klien dan server LDAP. Dalam hal ini, Anda tidak memerlukan perangkat keras tambahan.
Jeff Strunk