Jak radziłbyś sobie z uwierzytelnianiem i zarządzaniem użytkownikami w dużej sieci opartej tylko na Linuksie?

12

Po latach pracy z linuksem w małych sieciach, zacząłem w firmie, która utrzymuje duże sieci Windows. Wiem, że możesz przełożyć hosta linux na sieć Active Directory, ale czy istnieje uporządkowany sposób obsługi linux-y, jeśli nie musiałeś mieć do czynienia z hostami Windows. Czysto hipotetyczny.

Keith Loughnane
źródło

Odpowiedzi:

14

Najbliższym odpowiednikiem usługi Active Directory dla systemu Linux jest FreeIPA. FreeIPA jest produkowany przez Redhat i zapewnia zarówno uwierzytelnianie oparte na LDAP, jak i Kerberos w sieci Linux ...

FreeIPA to zintegrowane rozwiązanie do zarządzania informacjami o bezpieczeństwie, łączące Linux (Fedora), 389 Directory Server, MIT Kerberos, NTP, DNS, Dogtag (System certyfikatów). Składa się z interfejsu internetowego i narzędzi administracyjnych wiersza polecenia.

Pamiętaj, że FreeIPA jest w dużej mierze tylko Redhat i zajęłoby sporo pracy, aby uruchomić się na Debian / Ubuntu / cokolwiek ...

http://freeipa.org/page/Main_Page

Soviero
źródło
Myślę, że mówisz, że serwer Ubuntu FreeIPA byłby ciężką pracą? Konfigurowanie klienta Ubuntu nie powinno być tak trudne.
Nie teraz
Nie podoba mi się fakt, że jest to rozwiązanie tylko dla Redhata (ufając plakatowi na ten temat, 0 doświadczeń z nim), ale jest to zdecydowanie najbliższa odpowiedź na pytanie rodziców.
ItsGC
@ItsGC To jest Redhat tylko po stronie serwera IPA / Ldap.
Nie teraz
@NotNow Na kliencie jest łatwiej z Redhat, ponieważ jest jedno polecenie, które konfiguruje wszystko od LDAP do NTP w jednym kroku ... To polecenie nie istnieje na Ubuntu (AFAIK), więc musisz zrobić wszystko od zera ...
Soviero,
Dla wszystkich zainteresowanych ten pakiet jest dostępny w Ubuntu 12.04 LTS: packages.ubuntu.com/precise/freeipa-client
Soviero 12.12
4

LDAP to protokół aplikacji służący do uzyskiwania dostępu do rozproszonych usług katalogowych i zarządzania nimi za pośrednictwem sieci protokołu internetowego (IP).

Usługi katalogowe mogą zapewniać dowolny zorganizowany zestaw rekordów, często o strukturze hierarchicznej, taki jak firmowy katalog e-mail. Podobnie książka telefoniczna to lista subskrybentów z adresem i numerem telefonu.

Daemon of Chaos
źródło
LDAP jest również integralną częścią Active Directory.
Sven
1
Chłopaki, nie sądzę, żeby zapytał, czym jest LDAP ...
Ryan Ries,
2
LDAP jest odpowiedzią na pytanie. Podałem jedynie dodatkowe informacje na temat LDAP, aby dodatkowo to zilustrować.
Daemon of Chaos
To nie była odpowiedź, szukałem bardziej praktycznego, jakiego sprzętu i oprogramowania użyłbyś.
Keith Loughnane,
To powinno było zostać określone w twoim pytaniu.
Daemon of Chaos
0

Widziałem duże sieci ponad tysiąca serwerów Linux bez scentralizowanego uwierzytelniania i zarządzania użytkownikami. Każdy serwer miał tylko konta lokalne, które wszystkie musiały być utrzymywane indywidualnie.

To mnie kręci. Coś takiego jak Puppet prawdopodobnie może pomóc w tym dziale synchronizacji kont między systemami, ale nie pomoże ci dołączyć hostów do domeny AD.

Nie sądzę, aby twoje pytanie dotyczyło odpowiednika Active Directory dla systemu Linux, takiego jak FreeIPA. Myślę, że twoje pytanie dotyczy integracji hostów systemu Linux z istniejącą usługą Microsoft Active Directory, tak aby komputery z systemem Windows i maszyny z systemem Linux były tam połączone w tym samym katalogu.

Wiesz już, jak powiedziałeś, że hosty Linuksa mogą być „tam brukowane”. Zgadzam się z tą metaforą, ponieważ moim zdaniem jest to chaotyczny proces.

Istnieją również profesjonalne rozwiązania, takie jak PowerBroker (wcześniej podobny), który można zainstalować na hostach Linux i sprawia, że ​​przyłączenie ich do domeny AD jest znacznie bardziej niezawodne. Zawiera nawet niektóre funkcje zasad grupy.

Myślę, że prawdopodobnie zobaczysz coś takiego w dużym przedsiębiorstwie, które chce dołączyć swoje maszyny Linux do domeny Windows.

Ryan Ries
źródło
1
Tytuł: Jak poradziłbyś sobie z uwierzytelnianiem i zarządzaniem użytkownikami w dużej sieci opartej tylko na systemie Linux W pytaniu: czysto hipotetycznym. Opisał prawdziwą sytuację, która wywołała jego zastanowienie się nad sytuacją hipotetyczną. Naprawdę miał na myśli „jak zarządzać wieloma hostami unixowymi w taki sam sposób, jak zarządzałbyś wieloma hostami Windows z AD”?
ItsGC
2
Zabieram piłkę i wracam do domu! : `(
Ryan Ries
2
/przytulać. tutaj jest ciasteczko.
ItsGC
„jeśli nie musiałeś mieć do czynienia z hostami Windows” Dzięki i tak Ryan. Naprawdę zastanawiałem się, czy istnieje lepszy natywny sposób zarządzania przynajmniej kontami i bezpieczeństwem w systemie Linux.
Keith Loughnane
Jest; zobacz moją odpowiedź i sugestie dotyczące LDAP.
MadHatter
0

Polecam OpenLDAP + Kerberos ( MIT lub Heimdal ). Polega na zabrudzeniu rąk niż przy użyciu produktu takiego jak FreeIPA, ale pod względem wydajności nie można pokonać OpenLDAP.

Ten link jest naprawdę stary, ale podkreśla niektóre różnice wydajności między OpenLDAP a serwerem katalogowym 389 (zawartym w FreeIPA):

Niektóre liczby: Fedora Directory Server vs. OpenLDAP

Oczywiście jestem pewien, że od tego czasu oba produkty uległy poprawie. Wiem, że liczby OpenLDAP są znacznie lepsze, szczególnie w przypadku nowego backendu mapowanego na mdb .

bmaupin
źródło
Artykuł tak stary, że musiałeś używać Wayback Machine? Dobrze napisany artykuł, ale liczby w tym miejscu należałoby uznać za niepotwierdzone.
Aaron Copley,
0

Gdybym nie był w środowisku szczególnie wrażliwym na bezpieczeństwo, użyłbym NIS . Jest lekki, działa na wielu Uniksach, dobrze radzi sobie z awarią serwera (tzn. Pod warunkiem, że każdy klient jest skonfigurowany do korzystania z wielu serwerów NIS lub może znaleźć wiele serwerów przez transmisję, jest odporny na awarię aktualnie powiązanego serwera) i był używany od lat (pamiętam, że konfigurowałem serwery NIS w 1991 roku), więc jego osobliwości są dość dobrze rozumiane.

Szalony Kapelusznik
źródło