Proste, scentralizowane zarządzanie użytkownikami w małej sieci LAN - NIS czy LDAP?

12

Tworzę małą sieć LAN dla mojego zespołu. Dla wszystkich celów i celów nie będzie podłączony do żadnych sieci zewnętrznych. Chciałbym, żeby miał scentralizowaną kontrolę kont użytkowników (przynajmniej tak myślę; chciałbym też użyć marionetki, więc teoretycznie mogłem po prostu wcisnąć zmiany / etc / passwd, czy coś takiego). Liczba maszyn jest stała, ale niezbyt mała. Przeważnie są „przywiązani” do jednego użytkownika, ale czasami ludzie pracują zdalnie na czyimś urządzeniu; i jest kilka serwerów.

Przeczytałem to pytanie , ale mój scenariusz jest o wiele prostszy (nawet prostszy niż w tym pytaniu ) i chciałbym zrobić coś (stosunkowo) szybko, bez większych problemów, ale bez brudnego, całkowicie niepewnego włamania. Czy NIS jest odpowiedni dla mojego scenariusza? Jeśli nie, jaki jest najbardziej bezproblemowy sposób skonfigurowania LDAP (lub LDAP + Kerberos), aby osiągnąć to samo?

Uwagi:

  • Nie mam doświadczenia w konfigurowaniu NIS lub LDAP.
  • Używamy dystrybucji Linuksa o smaku Debiana, głównie Kubuntu 12.04 (nie mój wybór, ale tak już jest).
einpoklum
źródło

Odpowiedzi:

19

Nie sądzę, aby ktokolwiek używał NIS - a przynajmniej chce.

Najszybszym i najłatwiejszym sposobem na uzyskanie ładnego środowiska LDAP + Kerberos jest FreeIPA . Jest to łatwe i wystarczająco lekkie, że używam go nawet w domu.

Przewodnik do zarządzania tożsamością Red Hat to świetne wprowadzenie do FreeIPA i zapewni szybkie uruchomienie.

Pamiętaj, że chociaż Ubuntu ma FreeIPA , wersja 12.04 LTS jest starsza i może zawierać błędy lub brakować funkcji w porównaniu z nowszymi wersjami.

Michael Hampton
źródło
Patrząc na stronę, obawiam się, że może być związana z dystrybucjami RedHat'ish (RHEL, CentOS, Fedora). Czy to prawda?
einpoklum
Jest dostępny dla Debiana i Ubuntu, ale dlaczego ktoś miałby z nich korzystać? :)
Michael Hampton
1
Wygląda lepiej obsługiwany na RHEL / CentOS. Podczas konfigurowania czegoś tak krytycznego jak usługa zarządzania tożsamością może być wskazane użycie najlepiej obsługiwanej dystrybucji, niezależnie od tego, z czego korzystają komputery klienckie, IMHO.
mpontillo
@ Mike: Dystrybucja serwera nie jest moim wyborem i nie mogę / nie chcę do tego celu używać serwera dedykowanego (lub serwera wirtualnego).
einpoklum
1
Może gdyby to był naprawdę jeden mały demon. Naprawdę musisz poświęcić temu (wirtualną) maszynę; jeśli nie możesz lub nie chcesz, nie powinieneś używać FreeIPA.
Michael Hampton
3

IAR (replikacja konta internetowego) jest tym, czego szukasz. Jest to głównie skrypt powłoki i jest bardzo łatwy w użyciu. Do transportu wykorzystuje SSH - bez brzydoty portmapper / RPC jak NIS i do weryfikacji używa GPG. Został wykorzystany w produkcji na Ubuntu i Redhat. To nie jest LDAP, więc zdecydowanie nie jest przeznaczony do wszystkich celów ... ale zastępuje NIS dla większości zastosowań i jest naprawdę łatwy do skonfigurowania. To powiedziawszy, jestem jednym z autorów szybkiego, dość eleganckiego hacka, jakim jest IAR, więc mogę być nieco stronniczy.

Dokumenty, repozytorium .deb i przeglądarka kodów źródłowych online są dostępne na stronie iar.hcn-inc.com. RPM i tarball można pobrać ze strony sourceforge.net

Peter Fedorow
źródło
Ciekawa odpowiedź, ale nie pracuję już w tym samym miejscu, więc nie mogę jej teraz wypróbować ...
einpoklum