लिनक्स सेंट्रल ऑथेंटिकेशन / ऑथराइजेशन मेथड्स

मेरे पास लिनक्स सर्वरों का एक छोटा लेकिन बढ़ता हुआ नेटवर्क है। आदर्श रूप से मैं उपयोगकर्ता पहुंच को नियंत्रित करने, पासवर्ड बदलने आदि के लिए एक केंद्रीय स्थान चाहूंगा ... मैंने LDAP सर्वर के बारे में बहुत कुछ पढ़ा है, लेकिन मैं अभी भी सर्वश्रेष्ठ प्रमाणीकरण विधि चुनने के बारे में उलझन में हूं। क्या टीएलएस / एसएसएल काफी अच्छा है? Kerberos के लाभ क्या हैं? Whats GSSAPI? आदि ... मुझे एक स्पष्ट-कट गाइड नहीं मिला है जो इन विभिन्न तरीकों के पेशेवरों / विपक्षों को समझाता है। किसी भी मदद के लिए धन्यवाद।

इस समस्या के लिए, FreeIPA "सर्वश्रेष्ठ" FOSS समाधान है।

चूंकि आप अपनी समस्या के दायरे के बारे में सीखना शुरू कर रहे हैं, इसलिए आपको फ्रीपा के साथ खेलने का प्रयास करने से पहले अपना शोध करना चाहिए।

टीएलएस एन्क्रिप्शन ग्राहकों को सर्वर से निम्नलिखित के लिए दिए गए पासवर्ड के संचरण को सुरक्षित करने के लिए पर्याप्त है:

• आपके LDAP सर्वर का ACL ठीक से पासवर्ड हैश तक पहुँच को प्रतिबंधित करता है।
• आपके सर्वर की निजी कुंजी से कभी समझौता नहीं किया जाता है।

TLS एन्क्रिप्टेड प्लेन ऑथेंटिकेशन सेट करने के लिए सुरक्षित ऑथेंटिकेशन का सबसे सरल तरीका है। ज्यादातर सिस्टम इसका समर्थन करते हैं। केवल आपके क्लाइंट सिस्टम में आपके SSL प्रमाणपत्र प्राधिकरण के प्रमाणपत्र की एक प्रति मिल रही है।

यदि आप अपने वर्कस्टेशन के लिए सिस्टम पर एक भी संकेत चाहते हैं तो केर्बोस मुख्य रूप से उपयोगी है। यह अच्छा होगा कि आप एक बार लॉग इन कर सकें और अपने पासवर्ड को दोबारा दर्ज किए बिना वेब सेवाओं, आईएमएपी ईमेल और दूरस्थ गोले तक पहुंच सकें। दुर्भाग्य से, kerberized सेवाओं के लिए ग्राहकों का एक सीमित चयन है। Internet Explorer एकमात्र ब्राउज़र है। ktelnet आपका रिमोट शेल है।

आप ट्रैफ़िक को रोकने के लिए अभी भी अपने kerberized LDAP सर्वर और TLS / SSL के साथ अन्य सेवाओं के लिए ट्रैफ़िक एन्क्रिप्ट करना चाहते हैं।

GSSAPI प्रमाणीकरण के लिए एक मानकीकृत प्रोटोकॉल है जिसका उपयोग करबरोस जैसे बैक सिरों का उपयोग करता है।

LDAP कई सर्वरों और तराजू के लिए अच्छी तरह से काम करता है। StartTLS का उपयोग LDAP संचार को सुरक्षित करने के लिए किया जा सकता है। OpenLDAP अच्छी तरह से समर्थित और अधिक परिपक्व हो रहा है। मास्टर-मास्टर प्रतिकृति पुनर्मूल्यांकन के लिए उपलब्ध है। मैंने एक प्रशासनिक इंटरफ़ेस के रूप में गोसा का उपयोग किया है।

मैंने अभी भी प्रति सर्वर तक पहुंच को सीमित नहीं किया है, लेकिन सुविधा है।

आप ऑटोफ़ या किसी अन्य नेटवर्क माउंट मैकेनिज़्म का उपयोग करके साझा होम निर्देशिकाओं को देखना चाहते हैं। यह संभव नहीं है कि आप पहले लॉगिन पर गुम होम निर्देशिकाओं को बनाने वाले पाम मॉड्यूल को जोड़ना चाहेंगे।

हालांकि एनआईएस (उर्फ येल्पपेजेस) परिपक्व है, लेकिन इसमें कुछ सुरक्षा संबंधी समस्याएं भी हैं।

यदि आप अपने स्थानीय नेटवर्क के लिए एक सीधा समाधान ढूंढ रहे हैं, तो Sun'S नेटवर्क सूचना सेवा सुविधाजनक है और लंबे समय से आसपास है। यह लिंक और यह वर्णन करता है कि सर्वर और क्लाइंट इंस्टेंस दोनों को कैसे सेट किया जाए। एलडीएपी सेवाएं, जैसे कि यहां बताई गई हैं , केंद्रीयकृत प्रशासन प्रदान कर सकती हैं जिसे आप चाहते हैं।

कहा कि, यदि आपको उच्च स्तर की सुरक्षा की आवश्यकता है, तो आप अन्य पैकेज के साथ जाना चाह सकते हैं। TLS / SSL प्रारंभिक लॉगिन के लिए तब तक काम नहीं करेगा जब तक कि आपके पास अलग डोंगल / स्मार्टकार्ड या कुछ समान न हो। करबरोस मदद कर सकता है, लेकिन एक सुरक्षित, विश्वसनीय सर्वर की आवश्यकता होती है। आपकी जरूरतें क्या हैं?