Замена для NIS / YP

Компания, в которой я работаю, приступает к замене существующей локальной структуры NIS / YP на LDAP.

У нас уже есть AD для Windows, и мы хотели бы рассмотреть возможность использования системы AD. Люди AD довольно ограничены и не поддержат обширные модификации.

Нам нужно, чтобы замена включала в себя поддержку всех возможностей пакета NIS / YP, включая сетевые группы, ограничения входа в систему для определенных серверов для конкретных пользователей или групп пользователей, согласованные пароли между * nix и средой Windows и т. Д. Наша среда представляет собой смесь Linux (suse, RH, Debian), Sun, IBM, HP и MPRAS, а также NETAPP. Поэтому все, что мы используем, должно быть абсолютно инклюзивным для всей окружающей среды.

Мы также посмотрели на это, но наше руководство хочет сравнить с другими альтернативами.

На какие еще вещи я должен смотреть и как вы оцениваете альтернативу?

Спасибо

Раньше у Microsoft было нечто, называемое Services For Unix (оно все еще существует, но с другим названием: теперь это «Подсистема для приложений на основе UNIX (SUA)»). Среди включенных в него функций был шлюз AD-to-NIS, который позволяет вам создать домен NIS, который эффективно подчинен вашему домену AD.
Вероятно, это путь наименьшего сопротивления для вас, так как ваша среда Unix неоднородна - все, что понимает NIS, понимает сервер MS NIS, потому что для ваших систем Unix это все еще просто старый старый сервер NIS.

Другой вариант - pam_ldapd (или pam_ldap + nss_ldap) - это будет выполнять запросы непосредственно к вашим серверам AD и избавиться от некоторых ограничений NIS, но я не знаю, насколько хороша поддержка сетевых групп и что с этим (я знаю У pam_ldap + nss_ldap нет работающей поддержки сетевых групп во FreeBSD).

Вы можете попробовать freeipa ( http://freeipa.org ) от Redhat. Он предназначен для замены nis / yp и дает вам керберизованную среду в качестве бонуса. Конечно, вы можете просто подключить клиентов с помощью pam_ldap, но тогда вы потеряете единый вход.

Кстати, вы также можете синхронизировать пользователей с AD.

Поскольку у вас уже есть AD в доме, я рекомендую рассмотреть FreeMP / Redhat IDM, настроенный как доверенный домен активного каталога. Помимо того, что это бесплатно, это позволяет вам использовать всю имеющуюся информацию о пользователях и группах в AD, одновременно настраивая элементы управления доступом и политики в ipa.

Вы также получаете Kerberos & Sso потенциал. Ipa в этой настройке представляет группы объявлений как сетевые группы (например, nis).

Он поставляется с приятным веб-интерфейсом и внутренним контролем доступа на основе ролей (например, кто может присоединять хосты к сфере Kerberos, кто может управлять sudo и т. Д.).

Любой клиент должен иметь возможность проходить аутентификацию на ipa или AD.

QAS (любая версия), на мой взгляд, является идеальным решением, за исключением стоимости, которая может быть безумной. Это также требует изменения схемы в AD, что само по себе хорошо, но вашим ребятам из AD это может не понравиться.

Более новые версии winbind намного стабильнее, чем 3.x, но требуют, чтобы на каждом хосте были настроены политики доступа (sudo, ssh).

Я не могу говорить за центрифуги.

Я был в средах, в которых использовались VAS (теперь названный как-то еще, от Quest) и Centrify. Я не поддерживал ни одну систему, я был только пользователем. Итак, я не могу помочь вам решить, но это некоторые другие имена.

Из того, что я увидел, оба работали, и оба отвечали вашим перечисленным требованиям, хотя всегда были некоторые ошибки.

Winbind отлично работает, особенно с опцией RID. Используйте серверы AD в качестве NTP-компонентов для блоков Unix, это немного облегчает работу и работает нормально. Заставьте Kerberos работать с AD, это очень просто, просто убедитесь, что ntp работает и клиенты используют рекламу для DNS. Опция RID в winbind создаст предсказуемый uid для пользователей и gid для ваших групп. Конфигурация samba / winbind позволит вам выбрать оболочку, которую получат все пользователи. Я не уверен, что если у вас есть возможность настроить индивидуальные пользователи на разные оболочки, пользователь всегда может запустить любую оболочку, какую пожелает при входе в систему. Ограничения входа в систему можно поддерживать с помощью sshd_config, ограничивая на основе групп. Вам придется начать со старых машин и Netapp, чтобы увидеть, поддерживает ли установленная вами версия samba / winbind опцию RID бэкенда.