我正在尝试寻找最简单/最好的方法来管理 Fedora 服务器上的少数用户(目前为四个)和对多个应用程序的授权。我希望有一所有这些系统的每个用户都有一个密码,并且授权不需要非常细粒度。
我正在使用的系统以及我想要如何使用身份验证的一些示例包括:
- SSH
- Apache(将某些目录限制给经过身份验证的用户)
- Subversion(仅允许经过身份验证的用户进行读/写,其他用户则无权)
- Trac(要求经过身份验证的用户才能进行任何类型的访问)
LDAP(我从未使用过)是否是最佳选择?
答案1
LDAP
SSH 是一个不错的选择,但如果您正在寻找更多依赖于集中式身份验证的服务,我建议您考虑某种 LDAP 实现,例如 OpenLDAP。它非常流行,并且可以集成到您上面提到的所有服务中。此外,它很容易添加新用户并让它们在您需要的任何地方可用,只要您需要集成它的东西有一个 LDAP 插件。添加 SSL/TLS 安全性(可能,但不是必需的),您就一切就绪了。
LDAP 绝对是最佳选择。我刚刚体验过,学习难度很高,但一旦掌握之后,效果就会非常好。
答案2
LDAP 应该适用于所有这些,或者 PAM 和 LDAP,但您也可以考虑 RADIUS。关键区别在于 Radius 将代理到第三方服务器,因此您可以在以后添加双因素身份验证。此外,radius 要简单得多。您甚至可以使用 MS Radius 插件将身份验证从 Linux 上的 SSH 转到 AD。然后 HR 可以管理用户。当然,freeradius/openldap 也是如此。(听起来不像是一项要求。;)
以下是 apache 和 mod radius 的操作方法:http://www.wikidsystems.com/support/wikid-support-center/how-to/two-factor-authentication-for-apache-2.2-or-higher
这里有一个使用 apache * ldap 作为自动扫描程序的例子,但你应该明白它的意思了:http://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-add-two-factor-authentication-to-the-seccubus-automated-vulnerability-scanner
以下是有关 ssh 和 pam-radius 的操作方法:http://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-secure-ssh-with-two-factor-authentication-from-wikid。只需忽略双因素身份验证位。
本质上,任何其他服务(如 SVN),您都希望使用 PAM 并让 pam 通过 ldap、radius 或本地帐户处理身份验证。
高血压
答案3
LDAP 绝对是最佳选择。
Apache 和 SVN 可能是最容易入门的地方。看看这个指导。
一旦你已经完成了这项工作,就不会太难了:http://trac-hacks.org/wiki/LdapPlugin
SSH 有点棘手(如果配置错误,后果会更严重)。您需要在操作系统上配置可插入身份验证模块 (PAM),然后将 SSH 配置指向它。本指南将向您展示如何:http://directory.fedoraproject.org/wiki/Howto:PAM。
答案4
为什么不简单地使用 SSH?
Apache、Subversion 和 trac 可以存在于一个小型私有网络中,只能通过 ssh 连接到进行身份验证的前端服务器才能访问。从那里,用户可以打开到其他三个服务的端口转发。