Сетевая аутентификация + бродящий по корневому каталогу - который технология я должен изучить использование?

Информация об аутентификации, авторизации и каталоге

Это не полный ответ на ваш вопрос, но я подумал, что он может помочь ответить на ваши вопросы о NIS, LDAP и Kerberos.

Начните с this , который дает хороший обзор разницы между аутентификацией и авторизацией , что важно понимать для такого рода обсуждения.

] Kerberos, как вы говорите, просто протокол аутентификации. Учитывая набор учетных данных - например, имя пользователя и пароль - он скажет вам, действительны они или нет. Это все, что он делает.

Напротив, и NIS, и LDAP являются службами каталогов. Они позволяют клиенту запрашивать у них информацию о пользователях (какой у вас домашний каталог? Какой у вас идентификатор пользователя?). Оба могут использоваться в качестве источников аутентификации с различным уровнем проблем.

NIS не выполняет для вас никакой аутентификации самостоятельно. Скорее, он предоставляет хэш пароля клиентским машинам, и ваша локальная система выполняет фактический шаг аутентификации так же, как и для локальных учетных записей. Проблема здесь в том, что любой, у кого есть учетная запись на одном из ваших клиентов NIS, может захватить все ваши хэши паролей, а затем провести на них атаку методом перебора на досуге.

LDAP несколько более безопасен, поскольку этап аутентификации - это фактически выполняется на сервере. Вы должны убедиться, что вы шифруете свои сеансы LDAP с помощью SSL или TLS, в противном случае пароль отображается в открытом виде по сети, где он уязвим для перехвата пакетов.

Очень часто используется Kerberos для аутентификации, а затем либо NIS, либо LDAP для авторизации (обычно это означает «членство в группе») и информации каталога. Я бы сказал, что NIS после удаления хэшей паролей (путем переноса аутентификации на Kerberos) на самом деле не менее безопасен, чем LDAP, и имеет то преимущество, что он доступен «из коробки» в любом современном дистрибутиве Linux.

LDAP, с другой стороны, обычно гораздо более расширяемый, лучше масштабируется, если у вас большое количество пользователей (или других объектов каталога), обеспечивает расширенные запросы и, как правило, более управляем. LDAP также изначально поддерживается в различных приложениях, в то время как NIS имеет странные кровосмесительные отношения с основной операционной системой, которые могут быть нежелательными.

Если вы создаете что-то с нуля, Я бы порекомендовал Kerberos для аутентификации и LDAP для вашей службы каталогов.

Файловые системы

NFS имеет большое преимущество: он у вас уже есть, он широко распространен и в целом стабилен. У NFS есть два основных недостатка:

• Он плохо масштабируется для параллельного ввода-вывода. Если у вас есть большое количество машин, использующих одну и ту же файловую систему, вашему единственному серверу NFS может быть трудно поддерживать его. Вот почему в более крупных кластерах обычно используется кластерная файловая система (например, Lustre, GlusterFS, GPFS, GFS и т.д.), которая была разработана для поддержки параллельного ввода-вывода.

• У нее плохая модель безопасности. Как правило, решения по безопасности NFS полностью основываются на вашем числовом идентификаторе пользователя. Если у вас есть root в системе, которая может монтировать файловую систему NFS, у вас есть доступ ко всем файлам, потому что вы всегда можете создать локального пользователя с соответствующим идентификатором пользователя. Это не строго правда, потому что и NFSv3, и NFSv4 имеют разные уровни поддержки аутентификации Kerberos, но я еще не встречал никого, кто использовал бы это ... так что ваш пробег может отличаться.

Для небольших развертываний, большинство людей просто используют NFS, несмотря на его ограничения.

Существует множество других решений - кластерные файловые системы, о которых я упоминал выше, а также AFS и другие - но для большинства из них потребуется определенная работа с вашей стороны. запустить их в любом выбранном вами дистрибутиве. Недавно я слышал хорошие отзывы о GlusterFS, так что если бы я искал альтернативу NFS, я бы обратился к ней в первую очередь.

потому что и NFSv3, и NFSv4 имеют разные уровни поддержки аутентификации Kerberos, но я еще не встречал никого, кто использовал бы это ... так что ваш пробег может отличаться.

Для небольших развертываний большинство людей просто используют NFS, несмотря на его ограничения.

Существует множество других решений - кластерные файловые системы, о которых я упоминал выше, а также AFS и другие, - но большинство из них потребуют некоторой работы с вашей стороны, чтобы заставить их работать в любом выбранном вами дистрибутиве. Недавно я слышал хорошие отзывы о GlusterFS, так что если бы я искал альтернативу NFS, я бы обратился к ней в первую очередь.

потому что и NFSv3, и NFSv4 имеют разные уровни поддержки аутентификации Kerberos, но я еще не встречал никого, кто использовал бы это ... так что ваш пробег может отличаться.

Для небольших развертываний большинство людей просто используют NFS, несмотря на его ограничения.

Существует множество других решений - кластерные файловые системы, о которых я упоминал выше, а также AFS и другие, - но большинство из них потребуют некоторой работы с вашей стороны, чтобы заставить их работать в любом выбранном вами дистрибутиве. Недавно я слышал хорошие отзывы о GlusterFS, так что если бы я искал альтернативу NFS, я бы обратился к ней в первую очередь.

Существует множество других решений - кластерные файловые системы, о которых я упоминал выше, а также AFS и другие - но для большинства из них потребуется определенная работа с вашей стороны, чтобы заставить их работать в любом выбранном вами дистрибутиве. Недавно я слышал хорошие отзывы о GlusterFS, так что если бы я искал альтернативу NFS, я бы обратился к ней в первую очередь.

Существует множество других решений - кластерные файловые системы, о которых я упоминал выше, а также AFS и другие - но для большинства из них потребуется определенная работа с вашей стороны, чтобы заставить их работать в любом выбранном вами дистрибутиве. Недавно я слышал хорошие отзывы о GlusterFS, так что если бы я искал альтернативу NFS, я бы обратился к ней в первую очередь.