নেটওয়ার্ক প্রমাণীকরণ + রোমিং হোম ডিরেক্টরি - আমার কোন প্রযুক্তিটি ব্যবহার করা উচিত?

9

আমি এমন সফ্টওয়্যারটি সন্ধান করছি যা একাধিক কম্পিউটারে কোনও ব্যবহারকারীকে একক পরিচয় সরবরাহ করে। অর্থাৎ, প্রতিটি কম্পিউটারে ব্যবহারকারীর একই অনুমতি থাকতে হবে এবং প্রতিটি কম্পিউটারে ব্যবহারকারীর তার সমস্ত ফাইল (রোমিং হোম ডিরেক্টরি) অ্যাক্সেস থাকা উচিত। এই সাধারণ ধারণার জন্য অনেকগুলি সমাধান রয়েছে বলে মনে হচ্ছে, তবে আমি আমার পক্ষে সেরাটি নির্ধারণ করার চেষ্টা করছি। প্রয়োজনীয়তার সাথে কিছু বিশদ এখানে রয়েছে:

  1. মেশিনগুলির নেটওয়ার্ক হ'ল অ্যামাজন ইসি 2 উবুন্টু চলমান দৃষ্টান্ত।
    • আমরা এসএসএইচ সহ মেশিনগুলি অ্যাক্সেস করি।
    • এই ল্যানের কয়েকটি মেশিনের বিভিন্ন ব্যবহার থাকতে পারে তবে আমি কেবল নির্দিষ্ট ব্যবহারের জন্য মেশিনগুলি নিয়ে আলোচনা করছি (একটি বহু-ভাড়াটে প্ল্যাটফর্ম চালাচ্ছি)।
  2. সিস্টেমটিতে অবিচ্ছিন্নভাবে মেশিন থাকবে না।
    • আমাদের স্থায়ী বা অস্থায়ীভাবে চলমান মেশিনগুলির পরিমাণ পরিবর্তন করতে হতে পারে। এই কারণেই আমি কেন্দ্রীভূত প্রমাণীকরণ / সঞ্চয়স্থান সন্ধান করছি।
  3. এই প্রভাবটির প্রয়োগটি একটি সুরক্ষিত হওয়া উচিত।
    • ব্যবহারকারীদের সরাসরি শেল অ্যাক্সেস থাকবে কিনা তা আমরা নিশ্চিত নই, তবে তাদের সফ্টওয়্যারটি আমাদের সিস্টেমে সম্ভাব্যভাবে (সীমিত লিনাক্স ব্যবহারকারীদের নামের অধীনে) চলতে থাকবে, যা সরাসরি শেল অ্যাক্সেসের মতোই দুর্দান্ত।
    • আসুন ধরে নেওয়া যাক তাদের সফ্টওয়্যারটি সুরক্ষার স্বার্থে সম্ভাব্যভাবে দূষিত হতে পারে।

আমি আমার লক্ষ্য অর্জনের জন্য বেশ কয়েকটি প্রযুক্তি / সংমিশ্রনের কথা শুনেছি, তবে আমি প্রতিটিটির অনুক্রম সম্পর্কে নিশ্চিত নই।

  • একটি পুরানো সার্ভারফল্ট পোস্ট এনএফএস এবং এনআইএসের সুপারিশ করেছে, যদিও সিম্যানটেকের এই পুরানো নিবন্ধ অনুসারে সমন্বয়টিতে সুরক্ষা সমস্যা রয়েছে । নিবন্ধটি এনআইএস + এ যাওয়ার পরামর্শ দেয়, তবে এটি পুরানো হিসাবে, উইকিপিডিয়ায় এই নিবন্ধটি সূর্যের দ্বারা এনআইএস + থেকে দূরে ট্রেন্ডিংয়ের প্রস্তাবিত বিবৃতি উদ্ধৃত করেছে। প্রস্তাবিত প্রতিস্থাপনটি আমি শুনেছি এমন আরও একটি জিনিস ...
  • দ্বারা LDAP। দেখে মনে হচ্ছে যে কোনও নেটওয়ার্কের কেন্দ্রীভূত স্থানে ব্যবহারকারীর তথ্য সংরক্ষণ করতে এলডিএপি ব্যবহার করা যেতে পারে। 'রোমিং হোম ফোল্ডার' প্রয়োজনীয়তাটি কভার করার জন্য এনএফএসের এখনও ব্যবহার করা প্রয়োজন, তবে আমি সেগুলির উল্লেখগুলি একসাথে ব্যবহার করা দেখছি। যেহেতু সিম্যানটেক নিবন্ধটি এনআইএস এবং এনএফএস উভয় ক্ষেত্রেই সুরক্ষা সমস্যাগুলি নির্দেশ করেছে, এনএফএস প্রতিস্থাপনের জন্য কি কোনও সফ্টওয়্যার রয়েছে, বা আমি এই নিবন্ধটির তালিকাগুলির তালিকাগুলি বন্ধ করে দেওয়ার পরামর্শগুলিতে মনোযোগ দেব? আমি এলডিএপির দিকে ঝুঁকছি কারণ আমাদের আর্কিটেকচারের আরেকটি মৌলিক অংশ, রাব্বিটএমকিউতে এলডিএপি-র জন্য একটি প্রমাণীকরণ / অনুমোদন প্লাগইন রয়েছে। সিস্টেমের ব্যবহারকারীদের কাছে র‌্যাবিট এমকিউ সীমাবদ্ধ উপায়ে অ্যাক্সেসযোগ্য হবে, তাই আমি যদি সম্ভব হয় তবে সুরক্ষা ব্যবস্থাগুলি একসাথে বেঁধে রাখতে চাই।
  • কার্বেরোস হল আরেকটি সুরক্ষিত প্রমাণীকরণ প্রোটোকল যা আমি শুনেছি। আমি কিছু বছর আগে একটি ক্রিপ্টোগ্রাফি ক্লাসে এটি সম্পর্কে কিছুটা শিখেছি কিন্তু এটি সম্পর্কে খুব বেশি মনে নেই। আমি অনলাইনে পরামর্শ দেখেছি যে এটি বেশ কয়েকটি উপায়ে এলডিএপ এর সাথে সংযুক্ত করা যেতে পারে । এটি কি প্রয়োজনীয়? কারডেরোস ছাড়া এলডিএপির সুরক্ষা ঝুঁকিগুলি কী কী? কার্নেগি মেলন বিশ্ববিদ্যালয় কর্তৃক বিকাশিত কার্বেরোসকে অন্য একটি সফটওয়্যার ব্যবহার করা হয়েছিল বলে আমি মনে করি ...
  • অ্যান্ড্রু ফাইল সিস্টেম, বা এএফএস। ওপেনএএফএস ব্যবহারের জন্য উপলব্ধ, যদিও এটির সেটআপটি কিছুটা জটিল বলে মনে হচ্ছে। আমার বিশ্ববিদ্যালয়ে, এএফএস উভয় প্রয়োজনীয়তা সরবরাহ করে ... আমি যে কোনও মেশিনে লগইন করতে পারি এবং আমার "এএফএস ফোল্ডার" সর্বদা পাওয়া যায় (কমপক্ষে যখন আমি এএফএস টোকেন অর্জন করি)।

আমার কোন পথে খোঁজ করা উচিত সেই পরামর্শের সাথে, কারও কাছে এমন কোনও গাইড রয়েছে যা বিশেষভাবে সহায়ক ছিল? সাহসী পাঠ্যটি ইঙ্গিত হিসাবে, এলডিএপি সেরা পছন্দ বলে মনে হচ্ছে, তবে আমি সুরক্ষার সাথে সম্পর্কিত বাস্তবায়নের বিশদগুলিতে (কেবেরোস? এনএফএস?) বিশেষভাবে আগ্রহী।

linux  ubuntu  security  authentication  ldap 
ব্রায়ান
সূত্র

উত্তর:

7

প্রমাণীকরণ, অনুমোদন এবং ডিরেক্টরি তথ্য

এটি আপনার প্রশ্নের সম্পূর্ণ উত্তর নয়, তবে আমি ভেবেছিলাম এটি এনআইএস বনাম এলডিএপি বনাম কার্বেরোস সম্পর্কে আপনার প্রশ্নের সমাধানে সহায়তা করতে পারে।

দিয়ে শুরু করুন এই , যা মধ্যে পার্থক্য একটি ভাল ওভারভিউ প্রদান করে প্রমাণীকরণ এবং অনুমোদন , যা আলোচনা এই সাজানোর জন্য বুঝতে গুরুত্বপূর্ণ।

কার্বেরোস, যেমন আপনি বলেছেন, কেবলমাত্র একটি প্রমাণীকরণ প্রোটোকল। শংসাপত্রগুলির একটি সেট দেওয়া - যেমন, একটি ব্যবহারকারীর নাম এবং পাসওয়ার্ড - এটি আপনাকে বৈধ কিনা তা আপনাকে জানিয়ে দেবে। এটিই এটি করে।

বিপরীতে, এনআইএস এবং এলডিএপি উভয়ই ডিরেক্টরি পরিষেবা। ব্যবহারকারীদের সম্পর্কে তথ্যের জন্য তারা কোনও ক্লায়েন্টকে তাদের জিজ্ঞাসা করার অনুমতি দেয় (আপনার হোম ডিরেক্টরি কী? আপনার ব্যবহারকারী আইডি কী?) উভয়ই বিভিন্ন ধরণের সমস্যার হতাশার সাথে প্রমাণীকরণের উত্স হিসাবে ব্যবহৃত হতে পারে।

এনআইএস সত্যিকার অর্থে নিজের জন্য কোনও প্রমাণীকরণ সম্পাদন করে না। বরং এটি ক্লায়েন্ট মেশিনগুলিতে একটি পাসওয়ার্ড হ্যাশ উন্মোচিত করে এবং আপনার স্থানীয় সিস্টেম স্থানীয় অ্যাকাউন্টগুলির জন্য ঠিক একইভাবে সত্যিক প্রমাণীকরণের পদক্ষেপটি সম্পাদন করে। এখানে সমস্যাটি হ'ল আপনার এনআইএস ক্লায়েন্টের যে কোনও একটিতে অ্যাকাউন্ট থাকা যিনি আপনার সমস্ত পাসওয়ার্ড হ্যাশগুলি ধরে ফেলতে পারেন এবং তার অবসর সময়ে তাদের উপর আক্রমণাত্মক আক্রমণ চালাতে পারেন।

LDAP কিছুটা বেশি সুরক্ষিত, যেহেতু প্রমাণীকরণের পদক্ষেপটি আসলে সার্ভারে সঞ্চালিত হয়। আপনাকে নিশ্চিত করতে হবে যে আপনি এসএসএল বা টিএলএস দিয়ে আপনার এলডিএপি সেশনগুলি এনক্রিপ্ট করছেন, অন্যথায় পাসওয়ার্ডটি তারের ক্লিয়ারটেক্সটে উন্মুক্ত করা হয়েছে, যেখানে এটি প্যাকেট স্নিফিংয়ের পক্ষে ঝুঁকিপূর্ণ।

প্রমাণীকরণের জন্য কার্বেরোস এবং তারপরে অনুমোদনের জন্য এনআইএস বা এলডিএপি (সাধারণত এটি "গ্রুপ সদস্যতা") এবং ডিরেক্টরি সম্পর্কিত তথ্যের জন্য খুব সাধারণ। আমি যুক্তি দিয়ে বলতে পারি যে এনআইএস, একবার আপনি পাসওয়ার্ড হ্যাশগুলি সরিয়ে ফেললে (কেরবেরোসে আপনার প্রমাণীকরণটি সরিয়ে দিয়ে) আসলে এলডিএপি-র চেয়ে কম সুরক্ষিত নয় এবং আধুনিক লিনাক্স বিতরণে "বাক্সের বাইরে" উপলব্ধ থাকার সুবিধা রয়েছে।

অন্যদিকে, এলডিএপি সাধারণত অনেক বেশি এক্সটেনসিবল, স্কেলগুলি আরও ভাল হয় যদি আপনার প্রচুর সংখ্যক ব্যবহারকারী (বা অন্যান্য ডিরেক্টরি বিষয়বস্তু) থাকে, সমৃদ্ধ অনুসন্ধানের জন্য সরবরাহ করে এবং সাধারণত আরও পরিচালনাযোগ্য হয়। LDAP এছাড়াও বিভিন্ন অ্যাপ্লিকেশন নেটিভ সমর্থিত হয়, যখন এনআইএস মূল অপারেটিং সিস্টেমের সাথে একটি অদ্ভুত অজাচারমূলক সম্পর্ক রয়েছে যা অনাকাঙ্ক্ষিত হতে পারে।

আপনি যদি স্ক্র্যাচ থেকে জিনিসগুলি তৈরি করে থাকেন তবে আমি আপনার ডিরেক্টরি পরিষেবার জন্য প্রমাণীকরণের জন্য কার্বেরোস এবং এলডিএপিকে পরামর্শ দেব।

ফাইল-সিস্টেম

এনএফএসের একটি বড় সুবিধা রয়েছে: আপনার কাছে এটি ইতিমধ্যে রয়েছে, এটি ব্যাপকভাবে মোতায়েন করা হয়েছে এবং এটি সাধারণত স্থিতিশীল। এনএফএসের দুটি প্রাথমিক ডাউনসাইড রয়েছে:

  • এটি সমান্তরাল i / o এর জন্য ভাল স্কেল করে না। যদি আপনি একই ফাইল সিস্টেমে প্রচুর পরিমাণে মেশিন হিট করে থাকেন তবে আপনার একক এনএফএস সার্ভারকে চালিয়ে যেতে বেশ সময় থাকতে পারে। এ কারণেই বৃহত্তর ক্লাস্টারগুলি সাধারণত একটি ক্লাস্টার ফাইল সিস্টেম ব্যবহার করে (যেমন লাস্টার, গ্লাস্টারএফএস, জিপিএফএস, জিএফএস, ইত্যাদি) যা সমান্তরাল i / o সমর্থনের জন্য ডিজাইন করা হয়েছে।

  • এটির একটি খারাপ সুরক্ষা মডেল রয়েছে। সাধারণত, এনএফএস সুরক্ষা সিদ্ধান্তগুলি সম্পূর্ণরূপে আপনার সংখ্যার ব্যবহারকারী আইডির উপর নির্ভর করে। যদি আপনার এমন কোনও সিস্টেমে রুট থাকে যা কোনও এনএফএস ফাইল সিস্টেমটি মাউন্ট করতে পারে তবে আপনার সমস্ত ফাইলের অ্যাক্সেস থাকতে পারে - কারণ আপনি সর্বদা উপযুক্ত ব্যবহারকারী আইডি সহ একটি স্থানীয় ব্যবহারকারী তৈরি করতে পারেন। এটি কঠোরভাবে সত্য নয়, কারণ এনএফএসভি 3 এবং এনএফএসভি 4 উভয়েরই কার্বেরোস প্রমাণীকরণের জন্য বিভিন্ন স্তরের সমর্থন রয়েছে তবে আমি এখনও এটি ব্যবহার করে কারও সাথে দেখা করতে পারি নি ... তাই আপনার মাইলেজ ভিন্ন হতে পারে।

ছোট মোতায়েনের জন্য, বেশিরভাগ লোকেরা এর সীমাবদ্ধতা সত্ত্বেও কেবল এনএফএস ব্যবহার করে।

অন্যান্য বিভিন্ন সমাধান রয়েছে - আমি উপরে উল্লিখিত ক্লাস্টার ফাইল সিস্টেমগুলি, পাশাপাশি এএফএস এবং অন্যান্য - তবে এগুলির বেশিরভাগের জন্য আপনি যে কোনও বিতরণ বাছাই করেছেন তা চালিয়ে যেতে আপনার পক্ষ থেকে কিছু কাজ করা প্রয়োজন। আমি সম্প্রতি গ্লাস্টারএফএস সম্পর্কে ভাল জিনিস শুনেছি, তাই যদি আমি কোনও এনএফএস বিকল্পের সন্ধান করতাম যা সম্ভবত আমি প্রথম স্থান দেখতাম।

larsks
সূত্র
এই জিনিসগুলি পরিষ্কার করার জন্য ধন্যবাদ। অনুমোদন বনাম প্রমাণীকরণে আমার আসলে একটি ভাল ভিত্তি রয়েছে; আমি প্রতিটি সফ্টওয়্যার এর সামর্থ্য সম্পর্কে কেবল অনিশ্চিত। স্টোরেজ অংশটিও গুরুত্বপূর্ণ; আপনি কী জানেন যে কীভাবে কার্বেরোস / এলডিএপি-র সুরক্ষা মডেল এনএফএসের সাথে সংযুক্ত রয়েছে?
ব্রায়ান
আমি এনএফএস সম্পর্কে কিছু তথ্য দিয়ে উত্তর আপডেট করেছি।
লার্সস
এক্ষেত্রে আমি একক এনএফএস সার্ভারের মধ্যে সীমাবদ্ধ থাকার কোনও কারণ দেখছি না, যদিও একটি পর্যাপ্ত হতে পারে, এবং আরও পরে যুক্ত করা যেতে পারে। help.ubuntu.com/commune/AutofsLDAP
84104
আমি অন্যদের পাশাপাশি সেই অটোফসএলডিএপ গাইডটি দিয়ে যাওয়ার চেষ্টা করেছি। এটি হয় খারাপভাবে লেখা বা পুরানো, আমার ফলাফলগুলি পৃথক হওয়ার কারণে এবং আমি একটি নির্দিষ্ট বিন্দুর বাইরে যেতে পারি না। :(
ব্রায়ান
আপনি উপযুক্ত বিশদ সহ একটি নতুন প্রশ্ন খুলতে চাইতে পারেন।
0

এটি একটি আংশিক উত্তর।

এনআইএস / এনআইএস +
এনআইএস ব্যবহার করবেন না। নিস স্কিমা সহ এলডিএপি ব্যবহার করুন।

ওপেনএলডিএপি (উবুন্টুতে চড়-থাপ্পড়)
সঠিক এসিএল এবং এসএসএফ (সুরক্ষা শক্তি কারণ) সেটআপ করতে ভুলবেন না।
আপনি সাবধান না হলে সাফ পাসওয়ার্ডগুলি প্রেরণ করা খুব সহজ।
http://www.openldap.org/doc/

এনএফএস
এনএফএস কোনও এনক্রিপ্ট করা নয়।
এটি কিছু কৌতুকপূর্ণ সাথে এসএসএলে জড়িয়ে যেতে পারে।
কার্বেরোস ছাড়া লেখক ip_addr এর উপর নির্ভর করে।
কার্বেরোসের সাহায্যে এটি সম্ভব যে এসএসএল সমস্ত কিছু এনক্রিপ্ট করার জন্য ব্যবহৃত হয়।


এলডিএপি অনুমোদনের জন্য এসএএসএল পাস-থ্রোথ্টিফিকেশন থাকতে কার্বেরোসের ওপেনলডিএপ প্রয়োজন। (কঠিন নয়।)
ডিএনএস এন্ট্রি ব্যবহার করা উচিত। (প্রয়োজনীয় নয়, তবে খুব দরকারী)।
GSSAPI ssh-key এর পরিবর্তে ব্যবহার করা যেতে পারে। (সহাবস্থান করতে পারে))
কেডিসি মেশিনগুলি আপনার ক্লায়েন্ট মেশিনগুলির থেকে পৃথক হওয়া উচিত।

ওপেনএফএস
ডিইএস সহ এনক্রিপ্ট করা। (সুরক্ষিত হিসাবে বিবেচিত নয়))
হয় কার্বেরোস প্রয়োজন হয় বা এটি নিজস্ব লিগ্যাসি রচয়িতা।
এর নিজস্ব ফাইল সিস্টেমের এসিএল রয়েছে।

84104
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.