Linux中央认证/授权方法

我有一个规模虽小但正在增长的Linux服务器网络。理想情况下，我想在一个中央位置控制用户访问，更改密码等。我已经阅读了很多有关LDAP服务器的信息，但是我仍然对选择最佳的身份验证方法感到困惑。TLS / SSL是否足够好？Kerberos有什么好处？什么是GSSAPI？等等...我还没有找到明确的指南来说明这些不同方法的优缺点。谢谢你的帮助。

对于这个问题，FreeIPA是目前最好的FOSS解决方案。

由于您才刚刚开始了解问题的范围，因此在尝试使用FreeIPA之前，应先进行研究。

在以下情况下，TLS加密足以保证密码从客户端到服务器的传输安全：

• LDAP服务器的ACL正确限制了对密码哈希的访问。
• 服务器的私钥永远不会受到损害。

TLS加密普通身份验证是设置安全身份验证的最简单方法。大多数系统都支持此功能。客户端系统具有的唯一先决条件是获取SSL证书颁发机构的证书的副本。

如果您希望工作站使用单点登录系统，则Kerberos主要有用。能够一次登录并可以访问Web服务，IMAP电子邮件和远程Shell，而无需再次输入密码，将是很好的选择。不幸的是，使用kerberized服务的客户数量有限。Internet Explorer是唯一的浏览器。ktelnet是您的远程shell。

您可能仍想使用TLS / SSL加密到Kerberos LDAP服务器和其他服务的流量，以防止流量嗅探。

GSSAPI是用于使用Kerberos等后端进行身份验证的标准化协议。

LDAP适用于多台服务器，并且可以很好地扩展。startTLS可用于保护LDAP通信的安全。OpenLDAP得到越来越多的支持，并且更加成熟。主-主复制可用于冗余。我已经使用Gosa作为管理界面。

我仍然没有烦恼限制每个服务器的访问权限，但是这里有便利。

您可能还想使用autofs或其他一些网络安装机制查看共享主目录。您可能不希望添加pam模块，该模块在首次登录时会创建丢失的主目录。

尽管NIS（又称黄页）已经成熟，但也存在一些已报告的安全问题。

如果您正在寻找适用于本地网络的简单解决方案，那么Sun的网络信息服务将很方便，而且已经存在了很长时间。 此链接和这一个描述如何设置服务器和客户机实例。LDAP服务（如此处所述）也可以提供您想要的集中管理。

就是说，如果您需要更高级别的安全性，则可能需要使用其他软件包。除非您有单独的加密狗/智能卡或类似的东西，否则TLS / SSL无法用于初始登录。Kerberos可以提供帮助，但需要安全，受信任的服务器。你有什么需要