Linux 중앙 인증 / 권한 부여 방법 선택하는 데 여전히 혼란 스럽습니다. TLS

작지만 성장하는 Linux 서버 네트워크가 있습니다. 이상적으로는 사용자 액세스를 제어하고 암호를 변경하는 등의 중앙 위치를 원합니다. LDAP 서버에 대해 많이 읽었지만 최상의 인증 방법을 선택하는 데 여전히 혼란 스럽습니다. TLS / SSL이 충분합니까? Kerberos의 장점은 무엇입니까? GSSAPI 란 무엇입니까? 기타 … 나는 이러한 다양한 방법의 장단점을 설명하는 명확한 가이드를 찾지 못했습니다. 도움을 주셔서 감사합니다.



답변

이 문제에서 FreeIPA 는 “최고의”FOSS 솔루션입니다.

문제의 범위에 대해 배우기 시작했기 때문에 FreeIPA를 사용하기 전에 연구를 수행해야합니다.


답변

TLS 암호화는 다음과 같은 경우 클라이언트에서 서버로의 암호 전송을 보호하기에 충분합니다.

  • LDAP 서버의 ACL은 비밀번호 해시에 대한 액세스를 올바르게 제한합니다.
  • 서버의 개인 키는 절대 손상되지 않습니다.

TLS 암호화 된 일반 인증은 가장 간단한 보안 인증 설정 방법입니다. 대부분의 시스템이이를 지원합니다. 클라이언트 시스템의 유일한 전제 조건은 SSL 인증 기관의 인증서 사본을 얻는 것입니다.

Kerberos는 주로 워크 스테이션에 싱글 사인온 시스템을 원하는 경우에 유용합니다. 한 번 로그인하면 비밀번호를 다시 입력하지 않고도 웹 서비스, IMAP 이메일 및 원격 셸에 액세스 할 수있는 것이 좋습니다. 불행하게도, Kerberos화된 서비스를위한 클라이언트 선택은 제한되어 있습니다. Internet Explorer가 유일한 브라우저입니다. ktelnet은 원격 쉘입니다.

트래픽 스니핑을 방지하기 위해 TLS / SSL을 사용하여 Kerberos화된 LDAP 서버 및 기타 서비스에 대한 트래픽을 계속 암호화 할 수 있습니다.

GSSAPI 는 Kerberos와 같은 백엔드를 사용하는 인증을위한 표준화 된 프로토콜입니다.


답변

LDAP는 여러 서버에 적합하며 확장 성이 뛰어납니다. startTLS를 사용하여 LDAP 통신을 보호 할 수 있습니다. OpenLDAP은 잘 지원되고 성숙 해지고 있습니다. 마스터 마스터 복제는 이중화에 사용할 수 있습니다. Gosa를 관리 인터페이스로 사용했습니다.

나는 여전히 서버 당 액세스를 제한하지 않았지만 시설이 있습니다.

autofs 또는 다른 네트워크 마운트 메커니즘을 사용하여 공유 홈 디렉토리를보고 싶을 수도 있습니다. 처음 로그인 할 때 누락 된 홈 디렉토리를 작성하는 pam 모듈을 추가하지 않을 것입니다.

NIS (일명 옐로 페이지)는 성숙하지만 일부 보안 문제도보고되었습니다.


답변

로컬 네트워크를위한 간단한 솔루션을 찾고 있다면 Sun의 네트워크 정보 서비스가 편리하고 오랫동안 사용되어 왔습니다. 이 링크이 하나 모두 서버와 클라이언트 인스턴스를 설정하는 방법에 대해 설명합니다. 여기설명 된 것과 같은 LDAP 서비스는 원하는 중앙 집중식 관리도 제공 할 수 있습니다.

즉, 더 높은 수준의 보안이 필요한 경우 다른 패키지와 함께 사용할 수도 있습니다. 별도의 동글 / 스마트 카드 또는 이와 유사한 것을 가지고 있지 않으면 TLS / SSL이 초기 로그인에 작동하지 않습니다. Kerberos는 도움이 될 수 있지만 안전하고 신뢰할 수있는 서버가 필요합니다. 당신의 요구는 무엇입니까?


답변