Linuxセントラル認証/承認方法

Linuxサーバーの小規模ながら成長しているネットワークがあります。理想的には、ユーザーアクセスを制御したり、パスワードを変更したりするための中心的な場所にしたいです。TLS / SSLで十分ですか？Kerberosの利点は何ですか？GSSAPIとは その他...これらのさまざまな方法の長所/短所を説明する明確なガイドは見つかりませんでした。助けてくれてありがとう。

この問題に対して、FreeIPAは「最良の」FOSSソリューションです。

問題の範囲について学習し始めたばかりなので、FreeIPAを試す前に調査を行う必要があります。

TLS暗号化は、クライアントからサーバーへのパスワードの送信を次の条件で保護するのに十分です。

• LDAPサーバーのACLは、パスワードハッシュへのアクセスを適切に制限します。
• サーバーの秘密キーが侵害されることはありません。

TLS暗号化プレーン認証は、設定する最も簡単な安全な認証方法です。ほとんどのシステムはこれをサポートしています。クライアントシステムに必要な唯一の前提条件は、SSL認証局の証明書のコピーを取得することです。

ワークステーションにシングルサインオンシステムが必要な場合、Kerberosは主に役立ちます。一度ログインして、パスワードを再入力せずにWebサービス、IMAP電子メール、およびリモートシェルにアクセスできると便利です。残念ながら、Kerberos化されたサービスを利用できるクライアントは限られています。Internet Explorerが唯一のブラウザーです。ktelnetはリモートシェルです。

トラフィックスニッフィングを防ぐために、TLS / SSLを使用して、Kerberos化されたLDAPサーバーおよびその他のサービスへのトラフィックを暗号化することもできます。

GSSAPIは、Kerberosなどのバックエンドを使用した認証用の標準化されたプロトコルです。

LDAPは複数のサーバーで適切に機能し、拡張性に優れています。startTLSは、LDAP通信を保護するために使用できます。OpenLDAPは、十分にサポートされ、より成熟しています。マスターマスターレプリケーションは、冗長性のために利用可能です。Gosaを管理インターフェイスとして使用しました。

私はまだサーバーごとのアクセス制限を気にしませんでしたが、機能はそこにあります。

autofsまたは他のネットワークマウントメカニズムを使用して共有ホームディレクトリを確認することもできます。最初のログインで見つからないホームディレクトリを作成するpamモジュールを追加する必要はないでしょう。

NIS（別名イエローページ）は成熟していますが、セキュリティ上の問題もいくつか報告されています。

ローカルネットワークの簡単なソリューションを探している場合は、Sun'S Network Information Serviceが便利で、長い間使用されてきました。 このリンクと、この1は、サーバーとクライアントの両方のインスタンスを設定する方法について説明します。ここで説明するようなLDAPサービスは、必要な集中管理も提供できます。

ただし、より高いレベルのセキュリティが必要な場合は、他のパッケージを使用することをお勧めします。別個のドングル/スマートカードまたは類似のものがない限り、TLS / SSLは最初のログインでは機能しません。Kerberosは役立ちますが、安全で信頼できるサーバーが必要です。あなたのニーズは何ですか？