Linux 중앙 인증 / 권한 부여 방법


14

작지만 성장하는 Linux 서버 네트워크가 있습니다. 이상적으로는 사용자 액세스를 제어하고 암호를 변경하는 등의 중앙 위치를 원합니다. LDAP 서버에 대해 많이 읽었지만 최상의 인증 방법을 선택하는 데 여전히 혼란 스럽습니다. TLS / SSL이 충분합니까? Kerberos의 장점은 무엇입니까? GSSAPI 란 무엇입니까? 기타 ... 나는 이러한 다양한 방법의 장단점을 설명하는 명확한 가이드를 찾지 못했습니다. 도움을 주셔서 감사합니다.


NIS를 잊지 마십시오. 오래되었을 수 있지만 여전히 이유로 널리 사용됩니다.
MadHatter

그 이유는 LDAP를 완전히 지원하지 않는 기기 및 기타 운영 체제 일 수 있습니다. 100 % Linux 상점이 있다면 LDAP를 사용하는 것이 좋습니다. Solaris가 암호화를 위해 OpenSSL을 사용하여 OpenLDAP와 통신하는 데 문제가 있습니다. FreeBSD는 LDAP를 통해 넷 그룹을 사용할 수 없습니다. 호환되지 않는 시스템에 필요한 비인증 데이터에 대해 NIS 게이트웨이를 항상 설정할 수 있습니다.
Jeff Strunk

@MadHatter NIS가 여전히 사용되는 이유는 "관성"이라고 확신합니다.
Magellan

답변:


4

이 문제에서 FreeIPA 는 "최고의"FOSS 솔루션입니다.

문제의 범위에 대해 배우기 시작했기 때문에 FreeIPA를 사용하기 전에 연구를 수행해야합니다.


3

TLS 암호화는 다음과 같은 경우 클라이언트에서 서버로의 암호 전송을 보호하기에 충분합니다.

  • LDAP 서버의 ACL은 비밀번호 해시에 대한 액세스를 올바르게 제한합니다.
  • 서버의 개인 키는 절대 손상되지 않습니다.

TLS 암호화 된 일반 인증은 가장 간단한 보안 인증 설정 방법입니다. 대부분의 시스템이이를 지원합니다. 클라이언트 시스템의 유일한 전제 조건은 SSL 인증 기관의 인증서 사본을 얻는 것입니다.

Kerberos는 주로 워크 스테이션에 싱글 사인온 시스템을 원하는 경우에 유용합니다. 한 번 로그인하면 비밀번호를 다시 입력하지 않고도 웹 서비스, IMAP 이메일 및 원격 셸에 액세스 할 수있는 것이 좋습니다. 불행하게도, Kerberos화된 서비스를위한 클라이언트 선택은 제한되어 있습니다. Internet Explorer가 유일한 브라우저입니다. ktelnet은 원격 쉘입니다.

트래픽 스니핑을 방지하기 위해 TLS / SSL을 사용하여 Kerberos화된 LDAP 서버 및 기타 서비스에 대한 트래픽을 계속 암호화 할 수 있습니다.

GSSAPI 는 Kerberos와 같은 백엔드를 사용하는 인증을위한 표준화 된 프로토콜입니다.


2

LDAP는 여러 서버에 적합하며 확장 성이 뛰어납니다. startTLS를 사용하여 LDAP 통신을 보호 할 수 있습니다. OpenLDAP은 잘 지원되고 성숙 해지고 있습니다. 마스터 마스터 복제는 이중화에 사용할 수 있습니다. Gosa를 관리 인터페이스로 사용했습니다.

나는 여전히 서버 당 액세스를 제한하지 않았지만 시설이 있습니다.

autofs 또는 다른 네트워크 마운트 메커니즘을 사용하여 공유 홈 디렉토리를보고 싶을 수도 있습니다. 처음 로그인 할 때 누락 된 홈 디렉토리를 작성하는 pam 모듈을 추가하지 않을 것입니다.

NIS (일명 옐로 페이지)는 성숙하지만 일부 보안 문제도보고되었습니다.


0

로컬 네트워크를위한 간단한 솔루션을 찾고 있다면 Sun의 네트워크 정보 서비스가 편리하고 오랫동안 사용되어 왔습니다. 이 링크이 하나 모두 서버와 클라이언트 인스턴스를 설정하는 방법에 대해 설명합니다. 여기설명 된 것과 같은 LDAP 서비스는 원하는 중앙 집중식 관리도 제공 할 수 있습니다.

즉, 더 높은 수준의 보안이 필요한 경우 다른 패키지와 함께 사용할 수도 있습니다. 별도의 동글 / 스마트 카드 또는 이와 유사한 것을 가지고 있지 않으면 TLS / SSL이 초기 로그인에 작동하지 않습니다. Kerberos는 도움이 될 수 있지만 안전하고 신뢰할 수있는 서버가 필요합니다. 당신의 요구는 무엇입니까?


지금 당장은 중앙 인증 서버가 엄격히 필요하므로 모든 서버 대신 한 곳에서 비밀번호 만 변경하면됩니다. 그러나 확장 성이 뛰어난 솔루션을 원하므로보다 세분화 된 액세스 제어가 필요할 때 쉽게 추가 할 수 있습니다. 그래서 NIS가 아닌 LDAP를보고있었습니다.
Chris McBride

Chris는 LDAP 클라이언트와 서버 간의 네트워크 트래픽을 암호화하기 위해 TLS / SSL 만 언급하고 있다고 생각합니다. 이 경우 추가 하드웨어가 필요하지 않습니다.
Jeff Strunk
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.