Po latach pracy z linuksem w małych sieciach, zacząłem w firmie, która utrzymuje duże sieci Windows. Wiem, że możesz przełożyć hosta linux na sieć Active Directory, ale czy istnieje uporządkowany sposób obsługi linux-y, jeśli nie musiałeś mieć do czynienia z hostami Windows. Czysto hipotetyczny.
Odpowiedzi:
Najbliższym odpowiednikiem usługi Active Directory dla systemu Linux jest FreeIPA. FreeIPA jest produkowany przez Redhat i zapewnia zarówno uwierzytelnianie oparte na LDAP, jak i Kerberos w sieci Linux ...
FreeIPA to zintegrowane rozwiązanie do zarządzania informacjami o bezpieczeństwie, łączące Linux (Fedora), 389 Directory Server, MIT Kerberos, NTP, DNS, Dogtag (System certyfikatów). Składa się z interfejsu internetowego i narzędzi administracyjnych wiersza polecenia.
Pamiętaj, że FreeIPA jest w dużej mierze tylko Redhat i zajęłoby sporo pracy, aby uruchomić się na Debian / Ubuntu / cokolwiek ...
LDAP to protokół aplikacji służący do uzyskiwania dostępu do rozproszonych usług katalogowych i zarządzania nimi za pośrednictwem sieci protokołu internetowego (IP).
Usługi katalogowe mogą zapewniać dowolny zorganizowany zestaw rekordów, często o strukturze hierarchicznej, taki jak firmowy katalog e-mail. Podobnie książka telefoniczna to lista subskrybentów z adresem i numerem telefonu.
Widziałem duże sieci ponad tysiąca serwerów Linux bez scentralizowanego uwierzytelniania i zarządzania użytkownikami. Każdy serwer miał tylko konta lokalne, które wszystkie musiały być utrzymywane indywidualnie.
To mnie kręci. Coś takiego jak Puppet prawdopodobnie może pomóc w tym dziale synchronizacji kont między systemami, ale nie pomoże ci dołączyć hostów do domeny AD.
Nie sądzę, aby twoje pytanie dotyczyło odpowiednika Active Directory dla systemu Linux, takiego jak FreeIPA. Myślę, że twoje pytanie dotyczy integracji hostów systemu Linux z istniejącą usługą Microsoft Active Directory, tak aby komputery z systemem Windows i maszyny z systemem Linux były tam połączone w tym samym katalogu.
Wiesz już, jak powiedziałeś, że hosty Linuksa mogą być „tam brukowane”. Zgadzam się z tą metaforą, ponieważ moim zdaniem jest to chaotyczny proces.
Istnieją również profesjonalne rozwiązania, takie jak PowerBroker (wcześniej podobny), który można zainstalować na hostach Linux i sprawia, że przyłączenie ich do domeny AD jest znacznie bardziej niezawodne. Zawiera nawet niektóre funkcje zasad grupy.
Myślę, że prawdopodobnie zobaczysz coś takiego w dużym przedsiębiorstwie, które chce dołączyć swoje maszyny Linux do domeny Windows.
Polecam OpenLDAP + Kerberos ( MIT lub Heimdal ). Polega na zabrudzeniu rąk niż przy użyciu produktu takiego jak FreeIPA, ale pod względem wydajności nie można pokonać OpenLDAP.
Ten link jest naprawdę stary, ale podkreśla niektóre różnice wydajności między OpenLDAP a serwerem katalogowym 389 (zawartym w FreeIPA):
Niektóre liczby: Fedora Directory Server vs. OpenLDAP
Oczywiście jestem pewien, że od tego czasu oba produkty uległy poprawie. Wiem, że liczby OpenLDAP są znacznie lepsze, szczególnie w przypadku nowego backendu mapowanego na mdb .
Gdybym nie był w środowisku szczególnie wrażliwym na bezpieczeństwo, użyłbym NIS . Jest lekki, działa na wielu Uniksach, dobrze radzi sobie z awarią serwera (tzn. Pod warunkiem, że każdy klient jest skonfigurowany do korzystania z wielu serwerów NIS lub może znaleźć wiele serwerów przez transmisję, jest odporny na awarię aktualnie powiązanego serwera) i był używany od lat (pamiętam, że konfigurowałem serwery NIS w 1991 roku), więc jego osobliwości są dość dobrze rozumiane.