Linux中央認証/承認方法

この問題の場合、 FreeIPA が「最良の」FOSSソリューションです。

あなたは問題の範囲について学び始めたばかりなので、FreeIPAを試す前に調査を行う必要があります。

TLS暗号化は、クライアントからサーバーへのパスワードの送信を保護するのに十分です。

• LDAPサーバーのACLは、パスワードハッシュへのアクセスを適切に制限します。
• サーバーの秘密鍵が侵害されることはありません。

TLS暗号化プレーン認証は、設定する安全な認証の最も簡単な方法です。ほとんどのシステムがこれをサポートしています。クライアントシステムの唯一の前提条件は、SSL認証局の証明書のコピーを取得することです。

ワークステーションのシングルサインオンシステムが必要な場合、Kerberosは主に役立ちます。一度ログインして、もう一度パスワードを入力しなくても、Webサービス、IMAPメール、リモートシェルにアクセスできると便利です。残念ながら、Kerberos対応サービスのクライアントの選択には制限があります。 Internet Explorerが唯一のブラウザーです。 ktelnetはリモートシェルです。

トラフィックの盗聴を防ぐために、Kerberos対応のLDAPサーバーやその他のサービスへのトラフィックをTLS/SSLで暗号化することもできます。

[〜＃〜] gssapi [〜＃〜] は、Kerberosなどのバックエンドを使用した認証用の標準プロトコルです。

LDAPは複数のサーバーに対して適切に機能し、適切に拡張されます。 startTLSは、LDAP通信を保護するために使用できます。 OpenLDAPは十分にサポートされ、成熟しています。マスターマスターレプリケーションは冗長性に使用できます。私はGosaを管理インターフェースとして使用しました。

私はまだサーバーごとのアクセス制限を気にしていませんが、機能はあります。

Autofsまたはその他のネットワークマウントメカニズムを使用して、共有ホームディレクトリを確認することもできます。初回ログイン時に欠落しているホームディレクトリを作成するpamモジュールを追加することはおそらくないでしょう。

NIS（イエローページとも呼ばれます）は成熟していますが、セキュリティの問題も報告されています。

ローカルネットワークの簡単なソリューションを探している場合は、Sun'S Network Information Serviceが便利で、長い間使用されてきました。 このリンク と これ は、サーバーとクライアントの両方のインスタンスを設定する方法を説明しています。 ここで説明 などのLDAPサービスは、必要な集中管理も提供できます。

つまり、より高いレベルのセキュリティが必要な場合は、他のパッケージを使用することをお勧めします。 TLS/SSLは、ドングル/スマートカードなどが別にない限り、最初のログインでは機能しません。 Kerberosは役立ちますが、安全で信頼できるサーバーが必要です。あなたのニーズは何ですか？