web-dev-qa-db-fra.com

Méthodes d'authentification centrale de Linux / d'autorisation

J'ai un réseau petit mais en croissance de serveurs Linux. Idéalement, j'aimerais que j'aimerais un endroit central pour contrôler l'accès des utilisateurs, changer les mots de passe, etc. Je suis beaucoup lu sur les serveurs LDAP, mais je suis toujours confus sur le choix de la meilleure méthode d'authentification. Est-ce que TLS/SSL est assez bon? Quels sont les avantages de Kerberos? Quel est Gssapi? Etc ... je n'ai pas trouvé de guide clair qui explique les avantages/inconvénients de ces différentes méthodes. Merci pour toute aide.

14
Chris McBride

Pour ce problème, Freeipa est la "meilleure" solution de Foss.

Depuis que vous commencez tout juste à apprendre de la portée de votre problème, vous devriez faire vos recherches avant de tenter de jouer avec FreeIPA.

4
Not Now

LDAP fonctionne bien pour plusieurs serveurs et balayes bien. StartTLS peut être utilisé pour sécuriser les communications LDAP. OpenLDAP augmente bien soutenu et plus mature. La réplication Master-Master est disponible pour la redunance. J'ai utilisé Gosa comme une interface administrative.

Je n'ai toujours pas pris la peine de limiter l'accès par serveur, mais l'installation est là.

Vous pouvez également rechercher des annuaires de maison partagés à l'aide de Autofs ou d'un autre mécanisme de montage réseau. Ce n'est pas que vous voudrez probablement ajouter le module PAM qui crée des répertoires de maison manquants sur la première connexion.

Bien que NIS (AKA YellowPages) soit mature, il a également des problèmes de sécurité signalés.

2
BillThor

Si vous recherchez une solution simple pour votre réseau local, le service d'information sur le réseau Sun est pratique et existe depuis longtemps. Ce lien et celui-ci Décrivez comment configurer à la fois les instances du serveur et du client. Les services LDAP, tels que décrit ici , peuvent également fournir à l'administration centralisée que vous souhaitez également.

Cela dit, si vous avez besoin de niveaux de sécurité plus élevés, vous voudrez peut-être aller avec d'autres forfaits. TLS/SSL ne fonctionnera pas pour la connexion initiale, sauf si vous avez des dongles/cartes à puce séparées ou quelque chose de similaire. Kerberos peut aider, mais nécessite un serveur sécurisé et de confiance. Quels sont vos besoins?

0
mpez0