Централизованная аутентификация Linux / Методы Авторизации
Я знаю, что Вы сказали, что хотите использовать VMWARE, но можно получить Citrix xen сервер бесплатно. Свободный выпуск полностью функционален со своим собственным центром vm, эквивалентным бесплатно. Это не имеет vmotion, который это - то, где версия, за которую Вы платите, начинается. можно загрузить его с веб-сайта Citrix. Это имеет большую функциональность для стоимости.
Шифрование TLS достаточно хорошо для обеспечения передачи паролей от клиентов к серверу, учитывая следующее:
- ACLs Вашего сервера LDAP правильно ограничивают доступ к хэшам пароля.
- Закрытый ключ Вашего сервера никогда не поставлен под угрозу.
Зашифрованная простая аутентификация TLS является большей частью простого метода безопасной аутентификации настроить. Большинство систем поддерживает это. Единственная предпосылка, которую имеют Ваши клиентские системы, получает копию Вашего сертификата полномочий сертификата SSL.
Kerberos главным образом полезен, если Вы хотите систему единой точки входа для своих рабочих станций. Было бы хорошо смочь войти в систему однажды и иметь доступ к веб-сервисам, электронной почте IMAP и удаленным оболочкам, не вводя Ваш пароль снова. К сожалению, существует ограниченный выбор клиентов для kerberized сервисов. Internet Explorer является единственным браузером. ktelnet является Вашей удаленной оболочкой.
Можно все еще хотеть зашифровать трафик к kerberized LDAP сервер и другие сервисы с TLS/SSL для предотвращения транспортного сниффинга.
GSSAPI является стандартизированным протоколом для аутентификации с помощью бэкэндов, таких как Kerberos.
LDAP работает хорошо на несколько серверов и масштабов хорошо. startTLS может использоваться для обеспечения связи LDAP. OpenLDAP увеличивается хорошо поддерживаемый и более сформировавшийся. Основная основная репликация доступна для redunancy. Я использовал Gosa в качестве интерфейса администрирования.
Я все еще не потрудился ограничивать доступ на сервер, но средство там.
Можно также хотеть посмотреть на общие корневые каталоги с помощью autofs или некоторый другой сетевой механизм монтирования. Это не Вы, вероятно, захотите добавить pam модуль, который создает недостающие корневые каталоги на первом входе в систему.
В то время как NIS (иначе yellowpages) является сформировавшимся, он также имеет некоторые проблемы безопасности, о которых сообщают.
При поиске простого решения для локальной сети Сетевая информационная служба Sun удобна и была вокруг в течение долгого времени. Эта ссылка и этот описывают, как настроить и сервер и клиентские экземпляры. Сервисы LDAP, такой, как описано здесь, могут обеспечить централизованное администрирование, которое Вы хотите также.
Тем не менее при необходимости в более высоких уровнях безопасности можно хотеть пойти с другими пакетами. TLS/SSL не будет работать на начальный вход в систему, если у Вас не будет отдельных аппаратных ключей/смарт-карт или чего-то подобного. Kerberos может помочь, но требует защищенного, доверяемого сервера. Каковы Ваши потребности?