我有一个小而不断增长的Linux服务器networking。 理想情况下,我想要一个中心位置来控制用户访问,更改密码等…我已经读了很多有关LDAP服务器,但我仍然对select最佳的身份validation方法感到困惑。 TLS / SSL足够好吗? Kerberos有什么好处? 什么是GSSAPI? 等…我还没有find一个明确的指导,解释这些不同的方法的优点/缺点。 感谢您的帮助。
对于这个问题, FreeIPA是那里“最好”的FOSS解决scheme。
由于您刚开始了解您的问题的范围,您应该在尝试使用FreeIPA之前进行您的研究。
TLSencryption足以保证密码从客户端到服务器的传输,具体如下:
TLSencryption的简单authentication是build立安全authentication最简单的方法。 大多数系统都支持这个 客户端系统唯一的先决条件是获取您的SSLauthentication中心证书的副本。
如果您希望在工作站上使用单点login,则Kerberos主要有用。 如果能够login一次,并且无需再次input密码,就可以访问Web服务,IMAP电子邮件和远程shell。 不幸的是,kerberized服务的客户select有限。 Internet Explorer是唯一的浏览器。 ktelnet是您的远程shell。
您可能仍然想要使用TLS / SSLencryption您的kerberized LDAP服务器和其他服务的stream量,以防止stream量嗅探。
GSSAPI是使用诸如Kerberos之类的后端进行authentication的标准化协议。
LDAP适用于多台服务器,并且可以很好地扩展。 startTLS可用于保护LDAP通信。 OpenLDAP正在得到更好的支持和更成熟。 主 – 主复制可用于冗余。 我用Gosa作为pipe理界面。
我还没有打扰每个服务器的访问限制,但设施在那里。
您可能还想使用autofs或其他一些networking挂载机制来查看共享的主目录。 它不是你可能会想要添加在首次login时创build缺less主目录的pam模块。
虽然NIS(又名黄页)成熟,但也有一些报告的安全问题。
如果您正在为您的本地networking寻找一个简单的解决scheme,Sun的networking信息服务很便利,并且已经存在了很长一段时间。 这个链接和这个 链接描述了如何设置服务器和客户端实例。 这里描述的 LDAP服务也可以提供您想要的集中pipe理。
也就是说,如果您需要更高级别的安全性,您可能需要使用其他软件包。 除非您有单独的软件狗/智能卡或类似的东西,否则TLS / SSL将不能用于初始login。 Kerberos可以提供帮助,但需要安全的可信服务器。 你有什么需求?