Saya melihat ke dalam perangkat lunak yang menyediakan pengguna dengan identitas tunggal di beberapa komputer. Artinya, pengguna harus memiliki izin yang sama di setiap komputer, dan pengguna harus memiliki akses ke semua file-nya (roaming home directory) di setiap komputer. Tampaknya ada banyak solusi untuk ide umum ini, tetapi saya mencoba menentukan yang terbaik untuk saya. Berikut adalah beberapa detail beserta persyaratannya:
- Jaringan mesin adalah instance Amazon EC2 yang menjalankan Ubuntu.
- Kami mengakses mesin dengan SSH.
- Beberapa mesin pada LAN ini mungkin memiliki kegunaan yang berbeda, tetapi saya hanya membahas mesin untuk penggunaan tertentu (menjalankan platform multi-tenancy).
- Sistem tidak harus memiliki jumlah mesin yang konstan.
- Kami mungkin harus mengubah secara permanen atau sementara jumlah mesin yang berjalan. Ini adalah alasan mengapa saya mencari otentikasi / penyimpanan terpusat.
- Penerapan efek ini harus aman.
- Kami tidak yakin apakah pengguna akan memiliki akses shell langsung, tetapi perangkat lunak mereka berpotensi berjalan (di bawah nama pengguna Linux yang terbatas, tentu saja) di sistem kami, yang sama baiknya dengan akses shell langsung.
- Mari kita asumsikan bahwa perangkat lunak mereka berpotensi berbahaya demi keamanan.
Saya telah mendengar beberapa teknologi / kombinasi untuk mencapai tujuan saya, tetapi saya tidak yakin akibatnya.
- Posting ServerFault yang lebih lama merekomendasikan NFS & NIS, meskipun kombinasi memiliki masalah keamanan menurut artikel lama ini oleh Symantec . Artikel ini menyarankan pindah ke NIS +, tetapi, karena sudah tua, artikel Wikipedia ini mengutip pernyataan yang menyarankan tren jauh dari NIS + oleh Sun. Penggantian yang disarankan adalah hal lain yang saya dengar ...
- LDAP. Sepertinya LDAP dapat digunakan untuk menyimpan informasi pengguna di lokasi terpusat di jaringan. NFS masih perlu digunakan untuk memenuhi persyaratan 'folder home roaming', tapi saya melihat referensi mereka digunakan bersama. Karena artikel Symantec menunjukkan masalah keamanan di NIS dan NFS, apakah ada perangkat lunak untuk menggantikan NFS, atau haruskah saya memperhatikan saran artikel itu untuk menguncinya? Saya cenderung ke LDAP karena bagian mendasar lain dari arsitektur kami, RabbitMQ, memiliki plugin otentikasi / otorisasi untuk LDAP. RabbitMQ akan dapat diakses secara terbatas untuk pengguna di sistem, jadi saya ingin mengikat sistem keamanan bersama jika memungkinkan.
- Kerberos adalah protokol otentikasi aman lain yang pernah saya dengar. Saya belajar sedikit tentang hal itu beberapa tahun yang lalu di kelas kriptografi tetapi tidak begitu mengingatnya. Saya telah melihat saran online yang dapat dikombinasikan dengan LDAP dalam beberapa cara. Apakah ini perlu? Apa risiko keamanan LDAP tanpa Kerberos? Saya juga ingat Kerberos digunakan dalam perangkat lunak lain yang dikembangkan oleh Carnegie Mellon University ...
- Andrew File System, atau AFS. OpenAFS tersedia untuk digunakan, meskipun pengaturannya agak rumit. Di universitas saya, AFS menyediakan kedua persyaratan ... Saya dapat masuk ke mesin apa pun, dan "folder AFS" saya selalu tersedia (setidaknya ketika saya mendapatkan token AFS).
Bersamaan dengan saran untuk jalur mana saya harus melihat, apakah ada yang punya panduan yang sangat membantu? Seperti yang ditunjukkan oleh teks tebal, LDAP tampaknya menjadi pilihan terbaik, tapi saya sangat tertarik dengan detail implementasi (Keberos? NFS?) Sehubungan dengan keamanan.