Простое централизованное управление пользователями в небольшой локальной сети - NIS или LDAP?

12

Я настраиваю небольшую локальную сеть для своей команды. Он, по сути, не будет подключен к каким-либо внешним сетям. Мне бы хотелось, чтобы он имел централизованное управление учетными записями пользователей (по крайней мере, я думаю, что мне бы это понравилось; я также рассматриваю возможность использования puppet, поэтому теоретически я могу просто отправить изменения в / etc / passwd или что-то в этом роде). Количество машин фиксированное, но не очень маленькое. В основном они «привязаны» к одному пользователю, но иногда люди работают удаленно над чужой коробкой; и есть пара серверов.

Я читал этот вопрос , но мой сценарий намного проще (даже проще, чем в этом вопросе ), и я хотел бы сделать что-то (относительно) быстро, без особых хлопот, но без грязного, абсолютно небезопасного хака. Актуально ли NIS для моего сценария? Если нет, то как проще всего настроить LDAP (или LDAP + Kerberos) для достижения того же самого?

Примечания:

  • У меня нет опыта настройки NIS или LDAP.
  • Мы используем дистрибутивы Linux со вкусом Debian, в основном Kubuntu 12.04 (не мой выбор, но так оно и есть).
authentication user-management authorization einpoklum
источник

Ответы:

19

Я не думаю, что кто-то больше использует NIS - или, по крайней мере, хочет.

Самый быстрый и простой способ получить хорошую среду LDAP + Kerberos вверх является FreeIPA . Это легко и достаточно легко, что я даже использую это дома.

Руководство по управлению личностью Red Hat - отличное введение во FreeIPA, которое поможет вам быстро приступить к работе.

Обратите внимание, что хотя в Ubuntu есть FreeIPA , версия 12.04 LTS более старая и может содержать ошибки или отсутствующие функции по сравнению с более поздними версиями.

Майкл Хэмптон
источник
Просматривая сайт, я боюсь, что он может быть связан с дистрибутивами RedHat'ish (RHEL, CentOS, Fedora). Это правда?
einpoklum
Он доступен для Debian и Ubuntu, но зачем кому-то их использовать? :)
Майкл Хэмптон
1
Это выглядит лучше, поддерживается на RHEL / CentOS. При настройке чего-то столь же важного, как служба управления идентификацией, может быть целесообразно использовать наиболее поддерживаемый дистрибутив, независимо от того, какие клиентские машины используют, IMHO.
mpontillo
@Mike: дистрибутив сервера не мой выбор, и я не могу / не хочу использовать выделенный сервер (или виртуальный сервер) для этого.
einpoklum
1
Возможно, если бы это был действительно один крошечный демон. Вы действительно должны посвятить (виртуальную) машину этому; если вы не можете или не хотите, то вы не должны использовать FreeIPA.
Майкл Хэмптон
3

IAR (репликация учетной записи в Интернете) - это то, что вы ищете. Это в основном сценарий оболочки, и его очень легко использовать. Он использует SSH для транспорта - без уродства portmapper / RPC, как NIS, и использует GPG для проверки. Он был использован в производстве на Ubuntu и Redhat. Это не LDAP, поэтому он определенно не предназначен для всех целей ... но он заменяет NIS для большинства применений, и его действительно легко настроить. Тем не менее, я являюсь одним из авторов быстрого, довольно элегантного хака, которым является IAR, так что я могу быть немного предвзятым.

Документы, репозиторий .deb и онлайн-браузер с исходным кодом доступны на iar.hcn-inc.com. RPM и тарбол можно скачать с sourceforge.net

Петр Федоров
источник
Интересный ответ, но я больше не работаю в одном и том же месте, поэтому не могу попробовать это прямо сейчас ...
einpoklum