linux – 网络身份验证漫游主目录 – 我应该使用哪种技术？

这不是您问题的完整答案,但我认为这可能有助于解决有关NIS与LDAP和Kerberos的问题.

从this开始,它可以很好地概述身份验证和授权之间的区别,这对于理解这种讨论非常重要.

正如您所说,Kerberos只是一种身份验证协议.给定一组凭证 – 例如,用户名和密码 – 它将告诉您它们是否有效.这就是它的全部.

相比之下,NIS和LDAP都是目录服务.它们允许客户端查询它们以获取有关用户的信息(您的主目录是什么？您的用户ID是什么？).两者都可以用作具有不同问题的认证来源.

NIS并不真正为您执行任何身份验证.相反,它向客户端计算机公开密码哈希,并且本地系统执行实际身份验证步骤的方式与本地帐户相同.这里的问题是任何在你的一个NIS客户端拥有帐户的人都可以获取所有密码哈希值,然后在闲暇时对他们进行暴力攻击.

LDAP更安全一些,因为身份验证步骤实际上是在服务器上执行的.您必须确保使用SSL或TLS加密LDAP会话,否则密码将在网络上以明文形式公开,因为它很容易受到数据包嗅探.

使用Kerberos进行身份验证然后使用NIS或LDAP进行授权(通常这意味着“组成员资格”)和目录信息是很常见的.我认为NIS,一旦你删除了密码哈希(通过将你的身份验证移到Kerberos)并不比LDAP安全,并且具有在任何现代Linux发行版上“开箱即用”的优势.

另一方面,LDAP通常具有更大的可扩展性,如果您拥有大量用户(或其他目录对象),可以提供更好的扩展,提供丰富的查询,并且通常更易于管理.在各种应用程序中本地也支持LDAP,而NIS与核心操作系统之间存在奇怪的乱码关系,这可能是不可取的.

如果您从头开始构建东西,我建议使用Kerberos进行身份验证,并为您的目录服务建议LDAP.

文件系统

NFS有一个很大的优势：你已经拥有它,它被广泛部署,并且它通常是稳定的. NFS有两个主要缺点：

>并行i / o不能很好地扩展.如果您有大量计算机访问同一个文件系统,那么您的单个NFS服务器可能很难跟上.这就是为什么较大的集群通常使用旨在支持并行i / o的集群文件系统(如Lustre,GlusterFS,GPFS,GFS等).
>它有一个糟糕的安全模型.通常,NFS安全性决策完全基于您的数字用户ID.如果您在可以挂载NFS文件系统的系统上具有root权限,则可以访问所有文件 – 因为您始终可以使用适当的用户ID创建本地用户.这并非严格意义上的原因,因为NFSv3和NFSv4都对Kerberos身份验证有不同程度的支持,但我还没有遇到任何人使用此…所以你的milage可能会有所不同.

对于小型部署,大多数人只是使用NFS,尽管有其局限性.

还有其他各种解决方案 – 我上面提到的集群文件系统,以及AFS和其他解决方案 – 但是大多数这些解决方案需要您做一些工作才能让它们在您选择的任何分发上运行.我最近听说过关于GlusterFS的好东西,所以如果我正在寻找可能是我看的第一个NFS替代品.