Linux中央认证/授权方法

Question

我有一个小型但不断增长的Linux服务器网络。理想情况下，我想要一个控制用户访问、更改密码等的中心位置.我读过很多关于LDAP服务器的文章，但是我仍然对选择最好的身份验证方法感到困惑。TLS/SSL是否足够好？Kerberos的好处是什么？GSSAPI是什么？等等..。我还没有找到一个清晰的指南来解释这些不同方法的利弊。谢谢你的帮助。

Answer 1

在以下情况下，TLS加密足以保证密码从客户端传输到服务器的安全：

• LDAP服务器的ACL正确地限制了对密码哈希的访问。
• 您服务器的私钥从未被泄露过。

TLS加密的普通身份验证是最简单的安全认证方法来设置。大多数系统都支持这一点。客户端系统的唯一先决条件是获得SSL证书颁发机构证书的副本。

Kerberos主要是有用的，如果您想要一个单一的登录系统为您的工作站。能够一次登录并访问web服务、IMAP电子邮件和远程shell，而无需再次输入密码，这将是一件好事。不幸的是，有有限的客户选择角化服务。是唯一的浏览器。ktelnet是您的远程外壳。

您可能仍然希望使用TLS/SSL对您的kerberized服务器和其他服务的流量进行加密，以防止流量嗅探。

谷胱甘肽是一种使用后端(如Kerberos )进行身份验证的标准化协议。

Answer 2

LDAP适用于多个服务器，并且扩展得很好。startTLS可用于保护LDAP通信。OpenLDAP的支持度越来越高，也越来越成熟。主-主复制是可用的红。我用戈萨作为行政界面。

我仍然没有费心限制每个服务器的访问，但设施在那里。

您还可能希望使用autofs或其他一些网络挂载机制查看共享主目录。您可能不希望在第一次登录时添加创建丢失的主目录的pam模块。

虽然NIS (又名黄页)已经成熟，但它也存在一些据报道的安全问题。

Answer 3

如果您正在为您的本地网络寻找一个简单的解决方案，Sun的网络信息服务是方便的，并且已经存在了很长时间。这个链接和这一个描述了如何同时设置服务器和客户端实例。LDAP服务(如在此描述 )也可以提供所需的集中式管理。

尽管如此，如果您需要更高级别的安全性，您可能希望与其他包一起使用。除非您有独立的dongles/智能卡或类似的东西，否则TLS/SSL将无法用于初始登录。Kerberos可以提供帮助，但需要一个安全、可信的服务器。你有什么需要？