Métodos de autenticación / autorización central de Linux

14

Tengo una red pequeña pero creciente de servidores Linux. Idealmente, me gustaría un lugar central para controlar el acceso del usuario, cambiar las contraseñas, etc. He leído mucho sobre los servidores LDAP, pero todavía estoy confundido acerca de elegir el mejor método de autenticación. ¿TLS / SSL es lo suficientemente bueno? ¿Cuáles son los beneficios de Kerberos? ¿Qué es GSSAPI? Etc ... No he encontrado una guía clara que explique las ventajas y desventajas de estos diferentes métodos. Gracias por cualquier ayuda.

Chris McBride
fuente
No te olvides de NIS. Puede ser viejo, pero todavía es ampliamente utilizado por alguna razón.
MadHatter
Creo que esa razón puede ser dispositivos y otros sistemas operativos que no son totalmente compatibles con LDAP. Si tiene una tienda 100% Linux, LDAP es el camino a seguir. Solaris tiene problemas para hablar con OpenLDAP usando OpenSSL para el cifrado. FreeBSD no puede usar netgroups sobre LDAP. Siempre puede configurar una puerta de enlace NIS para los datos de no autenticación que necesitan los sistemas incompatibles.
Jeff Strunk
@MadHatter Estoy bastante seguro de que la razón por la que todavía se usa NIS se llama "Inercia".
Magellan

Respuestas:

4

Para este problema, FreeIPA es la "mejor" solución FOSS que existe.

Como recién está comenzando a conocer el alcance de su problema, debe investigar antes de intentar jugar con FreeIPA.

Ahora no
fuente
3

El cifrado TLS es lo suficientemente bueno como para asegurar la transmisión de contraseñas de los clientes al servidor dado lo siguiente:

  • Las ACL de su servidor LDAP restringen correctamente el acceso a los hash de contraseña.
  • La clave privada de su servidor nunca se ve comprometida.

La autenticación simple cifrada TLS es el método más simple de autenticación segura para configurar. La mayoría de los sistemas lo admiten. El único requisito previo que tienen sus sistemas cliente es obtener una copia del certificado de su autoridad de certificación SSL.

Kerberos es principalmente útil si desea un sistema de inicio de sesión único para sus estaciones de trabajo. Sería bueno poder iniciar sesión una vez y tener acceso a servicios web, correo electrónico IMAP y shells remotos sin ingresar su contraseña nuevamente. Desafortunadamente, hay una selección limitada de clientes para servicios kerberizados. Internet Explorer es el único navegador. ktelnet es tu shell remoto.

Es posible que aún desee cifrar el tráfico a su servidor LDAP kerberizado y otros servicios con TLS / SSL para evitar la detección del tráfico.

GSSAPI es un protocolo estandarizado para la autenticación que utiliza back-end como Kerberos.

Jeff Strunk
fuente
2

LDAP funciona bien para múltiples servidores y escala bien. startTLS se puede usar para proteger las comunicaciones LDAP. OpenLDAP está aumentando con un buen soporte y más maduro. La replicación maestro-maestro está disponible para redunancy. He usado Gosa como interfaz administrativa.

Todavía no me he molestado en limitar el acceso por servidor, pero la instalación está ahí.

También es posible que desee ver los directorios de inicio compartidos utilizando autofs, o algún otro mecanismo de montaje en red. No es probable que desee agregar el módulo pam que crea directorios de inicio faltantes en el primer inicio de sesión.

Si bien NIS (alias páginas amarillas) está maduro, también tiene algunos problemas de seguridad informados.

BillThor
fuente
0

Si está buscando una solución sencilla para su red local, Sun'S Network Information Service es conveniente y ha existido durante mucho tiempo. Este enlace y este describen cómo configurar las instancias del servidor y del cliente. Los servicios LDAP, como los descritos aquí , también pueden proporcionarle la administración centralizada que desea.

Dicho esto, si necesita mayores niveles de seguridad, puede optar por otros paquetes. TLS / SSL no funcionará para el inicio de sesión inicial a menos que tenga dongles / tarjetas inteligentes o algo similar. Kerberos puede ayudar, pero requiere un servidor seguro y confiable. Cuales son tus necesidades?

mpez0
fuente
Bueno, ahora mis necesidades son estrictamente para un servidor de autenticación central, por lo que solo tengo que cambiar una contraseña en un lugar en lugar de cada servidor. Pero me gustaría una solución que se escale bien, así que cuando necesito controles de acceso más granulares, puedo agregarla fácilmente. Es por eso que estaba mirando LDAP en lugar de NIS.
Chris McBride
Creo que Chris se refería a TLS / SSL solo para cifrar el tráfico de red entre el cliente y el servidor LDAP. En ese caso, no necesita ningún hardware adicional.
Jeff Strunk