Méthodes d'authentification / d'autorisation centralisées Linux

J'ai un petit mais croissant réseau de serveurs Linux. Idéalement, je voudrais un endroit central pour contrôler l'accès utilisateur, changer les mots de passe, etc ... J'ai beaucoup lu sur les serveurs LDAP, mais je suis toujours confus quant au choix de la meilleure méthode d'authentification. TLS / SSL est-il assez bon? Quels sont les avantages de Kerberos? Qu'est-ce que GSSAPI? Etc ... Je n'ai pas trouvé de guide clair qui explique les avantages / inconvénients de ces différentes méthodes. Merci pour toute aide.

Pour ce problème, FreeIPA est la "meilleure" solution FOSS sur le marché.

Puisque vous commencez tout juste à vous renseigner sur l'étendue de votre problème, vous devriez faire vos recherches avant d'essayer de jouer avec FreeIPA.

Le chiffrement TLS est suffisamment bon pour sécuriser la transmission des mots de passe des clients au serveur étant donné les éléments suivants:

• Les ACL de votre serveur LDAP limitent correctement l'accès aux hachages de mot de passe.
• La clé privée de votre serveur n'est jamais compromise.

L'authentification standard chiffrée TLS est la méthode d'authentification sécurisée la plus simple à configurer. La plupart des systèmes le prennent en charge. La seule condition préalable requise par vos systèmes clients est d'obtenir une copie du certificat de votre autorité de certification SSL.

Kerberos est principalement utile si vous souhaitez un système d'authentification unique pour vos postes de travail. Ce serait bien de pouvoir vous connecter une seule fois et d'avoir accès aux services Web, aux courriers électroniques IMAP et aux shells distants sans avoir à saisir à nouveau votre mot de passe. Malheureusement, il existe une sélection limitée de clients pour les services kerberized. Internet Explorer est le seul navigateur. ktelnet est votre shell distant.

Vous pouvez toujours vouloir chiffrer le trafic vers votre serveur LDAP kerberisé et d'autres services avec TLS / SSL pour empêcher le reniflement du trafic.

GSSAPI est un protocole normalisé d'authentification utilisant des backends tels que Kerberos.

LDAP fonctionne bien pour plusieurs serveurs et évolue bien. startTLS peut être utilisé pour sécuriser les communications LDAP. OpenLDAP se développe bien supporté et plus mature. La réplication maître-maître est disponible pour la redondance. J'ai utilisé Gosa comme interface administrative.

Je n'ai toujours pas pris la peine de limiter l'accès par serveur, mais l'installation est là.

Vous pouvez également consulter les répertoires personnels partagés à l'aide d'autofs ou d'un autre mécanisme de montage réseau. Si ce n'est pas le cas, vous voudrez probablement ajouter le module pam qui crée les répertoires personnels manquants lors de la première connexion.

Bien que NIS (aka pages jaunes) soit mature, il a également signalé des problèmes de sécurité.

Si vous recherchez une solution simple pour votre réseau local, le service d'informations réseau de Sun est pratique et existe depuis longtemps. Ce lien et celui-ci décrivent comment configurer à la fois les instances serveur et client. Les services LDAP, tels que décrits ici , peuvent également fournir l'administration centralisée souhaitée.

Cela dit, si vous avez besoin de niveaux de sécurité plus élevés, vous voudrez peut-être utiliser d'autres packages. TLS / SSL ne fonctionnera pas pour la connexion initiale, sauf si vous avez des dongles / cartes à puce séparées ou quelque chose de similaire. Kerberos peut vous aider, mais nécessite un serveur sécurisé et fiable. Quels sont tes besoins?