我有一个规模较小但正在不断增长的 Linux 服务器网络。理想情况下,我希望有一个中心位置来控制用户访问、更改密码等...我阅读了很多有关 LDAP 服务器的文章,但我仍然对选择最佳身份验证方法感到困惑。TLS/SSL 足够好吗?Kerberos 有什么好处?什么是 GSSAPI?等等...我还没有找到一个明确的指南来解释这些不同方法的优缺点。感谢您的帮助。
答案1
对于这个问题,免费IPA是目前“最佳”的 FOSS 解决方案。
由于您刚刚开始了解问题的范围,因此在尝试使用 FreeIPA 之前,您应该进行研究。
答案2
TLS 加密足以确保从客户端到服务器的密码传输安全,如下所示:
- 您的 LDAP 服务器的 ACL 正确限制了对密码哈希的访问。
- 您的服务器的私钥永远不会被泄露。
TLS 加密明文身份验证是最简单的安全身份验证方法。大多数系统都支持此方法。您的客户端系统的唯一先决条件是获取 SSL 证书颁发机构的证书副本。
如果您希望工作站采用单点登录系统,Kerberos 就非常有用。如果能够登录一次,无需再次输入密码即可访问 Web 服务、IMAP 电子邮件和远程 shell,那就太好了。遗憾的是,支持 Kerberos 服务的客户端选择有限。Internet Explorer 是唯一的浏览器。ktelnet 是您的远程 shell。
您可能仍希望使用 TLS/SSL 加密到您的 Kerberized LDAP 服务器和其他服务的流量,以防止流量嗅探。
全局搜索应用程序编程接口是一种使用 Kerberos 等后端进行身份验证的标准化协议。
答案3
LDAP 适用于多台服务器,并且扩展性好。startTLS 可用于保护 LDAP 通信。OpenLDAP 越来越受支持,也越来越成熟。主主复制可用于冗余。我使用 Gosa 作为管理界面。
我仍然没有费心限制每个服务器的访问,但是该设施就在那里。
您可能还想使用 autofs 或其他网络安装机制查看共享主目录。如果不是,您可能希望添加 pam 模块,该模块会在首次登录时创建缺失的主目录。
尽管 NIS(又名黄页)已经成熟,但也报告了一些安全问题。