Méthodes d'authentification / d'autorisation centralisées Linux


14

J'ai un petit mais croissant réseau de serveurs Linux. Idéalement, je voudrais un endroit central pour contrôler l'accès utilisateur, changer les mots de passe, etc ... J'ai beaucoup lu sur les serveurs LDAP, mais je suis toujours confus quant au choix de la meilleure méthode d'authentification. TLS / SSL est-il assez bon? Quels sont les avantages de Kerberos? Qu'est-ce que GSSAPI? Etc ... Je n'ai pas trouvé de guide clair qui explique les avantages / inconvénients de ces différentes méthodes. Merci pour toute aide.


N'oubliez pas NIS. Il peut être ancien, mais il est encore largement utilisé pour une raison.
MadHatter

Je pense que la raison peut être des appliances et d'autres systèmes d'exploitation qui ne prennent pas totalement en charge LDAP. Si vous avez une boutique 100% Linux, alors LDAP est le chemin à parcourir. Solaris a du mal à parler à OpenLDAP en utilisant OpenSSL pour le chiffrement. FreeBSD ne peut pas utiliser de netgroups sur LDAP. Vous pouvez toujours configurer une passerelle NIS pour les données de non-authentification nécessaires aux systèmes incompatibles.
Jeff Strunk

@MadHatter Je suis sûr que la raison pour laquelle NIS est toujours utilisé s'appelle "Inertia".
Magellan

Réponses:


4

Pour ce problème, FreeIPA est la "meilleure" solution FOSS sur le marché.

Puisque vous commencez tout juste à vous renseigner sur l'étendue de votre problème, vous devriez faire vos recherches avant d'essayer de jouer avec FreeIPA.


3

Le chiffrement TLS est suffisamment bon pour sécuriser la transmission des mots de passe des clients au serveur étant donné les éléments suivants:

  • Les ACL de votre serveur LDAP limitent correctement l'accès aux hachages de mot de passe.
  • La clé privée de votre serveur n'est jamais compromise.

L'authentification standard chiffrée TLS est la méthode d'authentification sécurisée la plus simple à configurer. La plupart des systèmes le prennent en charge. La seule condition préalable requise par vos systèmes clients est d'obtenir une copie du certificat de votre autorité de certification SSL.

Kerberos est principalement utile si vous souhaitez un système d'authentification unique pour vos postes de travail. Ce serait bien de pouvoir vous connecter une seule fois et d'avoir accès aux services Web, aux courriers électroniques IMAP et aux shells distants sans avoir à saisir à nouveau votre mot de passe. Malheureusement, il existe une sélection limitée de clients pour les services kerberized. Internet Explorer est le seul navigateur. ktelnet est votre shell distant.

Vous pouvez toujours vouloir chiffrer le trafic vers votre serveur LDAP kerberisé et d'autres services avec TLS / SSL pour empêcher le reniflement du trafic.

GSSAPI est un protocole normalisé d'authentification utilisant des backends tels que Kerberos.


2

LDAP fonctionne bien pour plusieurs serveurs et évolue bien. startTLS peut être utilisé pour sécuriser les communications LDAP. OpenLDAP se développe bien supporté et plus mature. La réplication maître-maître est disponible pour la redondance. J'ai utilisé Gosa comme interface administrative.

Je n'ai toujours pas pris la peine de limiter l'accès par serveur, mais l'installation est là.

Vous pouvez également consulter les répertoires personnels partagés à l'aide d'autofs ou d'un autre mécanisme de montage réseau. Si ce n'est pas le cas, vous voudrez probablement ajouter le module pam qui crée les répertoires personnels manquants lors de la première connexion.

Bien que NIS (aka pages jaunes) soit mature, il a également signalé des problèmes de sécurité.


0

Si vous recherchez une solution simple pour votre réseau local, le service d'informations réseau de Sun est pratique et existe depuis longtemps. Ce lien et celui-ci décrivent comment configurer à la fois les instances serveur et client. Les services LDAP, tels que décrits ici , peuvent également fournir l'administration centralisée souhaitée.

Cela dit, si vous avez besoin de niveaux de sécurité plus élevés, vous voudrez peut-être utiliser d'autres packages. TLS / SSL ne fonctionnera pas pour la connexion initiale, sauf si vous avez des dongles / cartes à puce séparées ou quelque chose de similaire. Kerberos peut vous aider, mais nécessite un serveur sécurisé et fiable. Quels sont tes besoins?


Eh bien en ce moment, mes besoins sont strictement pour un serveur d'authentification central, donc je n'ai qu'à changer un mot de passe à un endroit au lieu de chaque serveur. Mais j'aimerais une solution qui évolue bien, donc quand j'ai besoin de contrôles d'accès plus granulaires, je peux facilement l'ajouter. C'est pourquoi je regardais LDAP par opposition à NIS.
Chris McBride

Je pense que Chris faisait référence à TLS / SSL uniquement pour crypter le trafic réseau entre le client LDAP et le serveur. Dans ce cas, vous n'avez pas besoin de matériel supplémentaire.
Jeff Strunk
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.