Métodos de autenticación / autorización central de Linux

Tengo una red pequeña pero creciente de servidores Linux. Idealmente, me gustaría un lugar central para controlar el acceso del usuario, cambiar las contraseñas, etc. He leído mucho sobre los servidores LDAP, pero todavía estoy confundido acerca de elegir el mejor método de autenticación. ¿TLS / SSL es lo suficientemente bueno? ¿Cuáles son los beneficios de Kerberos? ¿Qué es GSSAPI? Etc ... No he encontrado una guía clara que explique las ventajas y desventajas de estos diferentes métodos. Gracias por cualquier ayuda.

Para este problema, FreeIPA es la "mejor" solución FOSS que existe.

Como recién está comenzando a conocer el alcance de su problema, debe investigar antes de intentar jugar con FreeIPA.

El cifrado TLS es lo suficientemente bueno como para asegurar la transmisión de contraseñas de los clientes al servidor dado lo siguiente:

• Las ACL de su servidor LDAP restringen correctamente el acceso a los hash de contraseña.
• La clave privada de su servidor nunca se ve comprometida.

La autenticación simple cifrada TLS es el método más simple de autenticación segura para configurar. La mayoría de los sistemas lo admiten. El único requisito previo que tienen sus sistemas cliente es obtener una copia del certificado de su autoridad de certificación SSL.

Kerberos es principalmente útil si desea un sistema de inicio de sesión único para sus estaciones de trabajo. Sería bueno poder iniciar sesión una vez y tener acceso a servicios web, correo electrónico IMAP y shells remotos sin ingresar su contraseña nuevamente. Desafortunadamente, hay una selección limitada de clientes para servicios kerberizados. Internet Explorer es el único navegador. ktelnet es tu shell remoto.

Es posible que aún desee cifrar el tráfico a su servidor LDAP kerberizado y otros servicios con TLS / SSL para evitar la detección del tráfico.

GSSAPI es un protocolo estandarizado para la autenticación que utiliza back-end como Kerberos.

LDAP funciona bien para múltiples servidores y escala bien. startTLS se puede usar para proteger las comunicaciones LDAP. OpenLDAP está aumentando con un buen soporte y más maduro. La replicación maestro-maestro está disponible para redunancy. He usado Gosa como interfaz administrativa.

Todavía no me he molestado en limitar el acceso por servidor, pero la instalación está ahí.

También es posible que desee ver los directorios de inicio compartidos utilizando autofs, o algún otro mecanismo de montaje en red. No es probable que desee agregar el módulo pam que crea directorios de inicio faltantes en el primer inicio de sesión.

Si bien NIS (alias páginas amarillas) está maduro, también tiene algunos problemas de seguridad informados.

Si está buscando una solución sencilla para su red local, Sun'S Network Information Service es conveniente y ha existido durante mucho tiempo. Este enlace y este describen cómo configurar las instancias del servidor y del cliente. Los servicios LDAP, como los descritos aquí , también pueden proporcionarle la administración centralizada que desea.

Dicho esto, si necesita mayores niveles de seguridad, puede optar por otros paquetes. TLS / SSL no funcionará para el inicio de sesión inicial a menos que tenga dongles / tarjetas inteligentes o algo similar. Kerberos puede ayudar, pero requiere un servidor seguro y confiable. Cuales son tus necesidades?