В большой сети только с Linux, как бы вы справились с аутентификацией и управлением пользователями?

После многих лет работы с Linux в небольших сетях я начал работать в компании, которая поддерживает большие сети Windows. Я знаю, что вы можете загружать хост linux в сеть Active Directory, но есть ли удобный способ обращения с ним, если вам не приходилось иметь дело с хостами Windows. Чисто гипотетический.

Ближайшим эквивалентом Active Directory для Linux является FreeIPA. FreeIPA создан Redhat и обеспечивает аутентификацию на основе LDAP и Kerberos для сети Linux ...

FreeIPA - это интегрированное решение для управления информацией о безопасности, объединяющее Linux (Fedora), 389 Directory Server, MIT Kerberos, NTP, DNS, Dogtag (система сертификатов). Он состоит из веб-интерфейса и инструментов администрирования командной строки.

Имейте в виду, что FreeIPA в основном только Redhat, и потребуется немало усилий, чтобы запустить Debian / Ubuntu / что угодно ...

http://freeipa.org/page/Main_Page

LDAP - это прикладной протокол для доступа и обслуживания информационных служб распределенных каталогов по сети Интернет-протокола (IP).

Службы каталогов могут предоставлять любой организованный набор записей, часто с иерархической структурой, например корпоративный каталог электронной почты. Аналогично, телефонный справочник - это список абонентов с адресом и номером телефона.

Я видел большие сети с более чем тысячей серверов Linux без централизованной аутентификации или управления пользователями. У каждого отдельного сервера были только локальные учетные записи, которые должны были обслуживаться индивидуально.

Это заставляет меня съеживаться. Нечто подобное Puppet может, вероятно, помочь в этом отделе синхронизации учетных записей между системами, но это не поможет вам присоединить хосты к домену AD.

Я не верю, что ваш вопрос касается эквивалента Active Directory для Linux, такого как FreeIPA. Я думаю, что ваш вопрос связан с интеграцией хостов Linux в существующий Microsoft Active Directory таким образом, чтобы все ваши машины с Windows и Linux были объединены в одном каталоге.

Как вы уже сказали, вы уже знаете, что хосты Linux могут быть там "вымощены". Я согласен с этой метафорой, так как это грязный процесс, на мой взгляд.

Кроме того, существуют также профессиональные решения, такие как PowerBroker (ранее также), которые можно устанавливать на хосты Linux и сделать их присоединение к домену AD гораздо более надежным. Он даже включает некоторые возможности групповой политики.

Я думаю, что вы, вероятно, увидите нечто подобное в большом предприятии, которое хочет присоединить свои Linux-машины к домену Windows.

Я бы порекомендовал OpenLDAP + Kerberos ( MIT или Heimdal ). Это означает, что ваши руки будут немного грязнее, чем при использовании такого продукта, как FreeIPA, но с точки зрения производительности вы не сможете победить OpenLDAP.

Эта ссылка действительно старая, но она подчеркивает некоторые различия в производительности между OpenLDAP и сервером каталогов 389 (включенным в FreeIPA):

Некоторые номера: Сервер каталогов Fedora против OpenLDAP

Конечно, я уверен, что оба продукта улучшились с тех пор. Я знаю, что числа OpenLDAP намного лучше, особенно с новым бэкэндом с отображением памяти в mdb .

Если бы я не находился в обстановке особой безопасности, я бы использовал NIS . Он легкий, работает на многих Unices, хорошо справляется с отказом сервера (т. Е. При условии, что каждый клиент либо настроен на использование нескольких серверов NIS, либо может находить несколько серверов по широковещательной рассылке, он устойчив к отказу сервера, привязанного в настоящее время), и был использован в течение многих лет (например, я помню, как настраивал серверы NIS в 1991 году), поэтому его особенности достаточно хорошо поняты.