Sostituzione per NIS / YP

8

La società per cui sto lavorando si sta impegnando a sostituire l'attuale struttura NIS / YP sviluppata localmente con LDAP.

Abbiamo già AD in house per le cose di Windows e vorrei prendere in considerazione l'utilizzo di un sistema AD. Le persone AD sono piuttosto restrittive e non supporterebbero ampie modifiche.

È necessario che la sostituzione includa il supporto, le funzionalità complete della suite NIS / YP includono netgroup, restrizioni di accesso a server specifici per utenti o gruppi di utenti specifici, password coerenti tra l'ambiente * nix e l'ambiente Windows, ecc. Il nostro ambiente è una miscela di Linux (suse, RH, Debian), Sun, IBM, HP e MPRAS e NETAPP. Quindi qualunque cosa utilizziamo deve essere totalmente inclusiva per tutto l'ambiente.

Abbiamo anche guardato allo stesso modo, ma il nostro management vuole altre alternative da confrontare.

Quali altre cose dovrei guardare e qual è la tua valutazione dell'alternativa?

Grazie

linux  unix  ldap  nis  active-directory 
MDPC
fonte

Risposte:

2

Microsoft aveva qualcosa chiamato Services For Unix (è ancora in circolazione ma con un nome diverso: ora è "Sottosistema per applicazioni basate su UNIX (SUA)") - Tra le funzionalità incluse c'era un gateway da AD a NIS che consente per creare un dominio NIS che è effettivamente slave al tuo dominio AD.
Questo è probabilmente il percorso di minor resistenza per te poiché il tuo ambiente unix è eterogeneo - Qualsiasi cosa abbia capito NIS capirà il server MS NIS, perché per quanto riguarda i tuoi sistemi unix è ancora solo un semplice vecchio server NIS.

Un'altra opzione è pam_ldapd (o pam_ldap + nss_ldap) - Questo farebbe una query direttamente sui tuoi server AD e si allontanerebbe da alcune delle limitazioni di NIS, ma non so quanto sia buono il supporto del netgroup e tale è su questi (lo so pam_ldap + nss_ldap non ha il supporto netgroup funzionante su FreeBSD).

voretaq7
fonte
1
Fare attenzione con SUA è deprivato in Win8 e Server 2012 non sarà disponibile dopo di loro.
Squareborg,
@Shutupsquare Immagino che ci sarà un sostituto (o un gateway NIS AD <--> di terze parti), ma onestamente in un ambiente moderno l'integrazione LDAP e le estensioni POSIX ad AD sono davvero la strada da percorrere.
voretaq7,
2

potresti provare freeipa ( http://freeipa.org ) dalla gente dei redhat. Ha lo scopo di sostituire nis / yp e ti dà un ambiente kerberized come bonus. Ovviamente puoi semplicemente collegare i client con solo pam_ldap, ma perdi il single sign-on.

A proposito, puoi anche sincronizzare gli utenti con AD.

natxo asenjo
fonte
1

Dato che hai già AD in casa, ti consiglio di considerare Freeipa / Redhat IDM impostato come dominio di fiducia di active directory. Oltre ad essere gratuito, questo ti consente di utilizzare tutte le informazioni di utenti e gruppi esistenti in AD, impostando i controlli di accesso e le politiche in ipa.

Ottieni anche il kerberos e il potenziale sso. Ipa in questa configurazione presenta i gruppi di annunci come netgroup (come nis).

Viene fornito con una bella interfaccia grafica Web e controllo dell'accesso basato sui ruoli interni (ad esempio, chi può unire gli host al regno di Kerberos, chi può gestire sudo ecc.).

Qualsiasi client dovrebbe essere in grado di autenticarsi con ipa o AD.

QAS (entrambe le versioni) è una soluzione ideale a mio avviso, tranne per il costo, che può essere folle. Richiede anche una modifica dello schema in AD, che a sua volta va bene, ma ai tuoi ragazzi AD potrebbe non piacere.

Le versioni più recenti di winbind sono molto più stabili della 3.x, ma richiedono che i criteri di accesso (sudo, ssh) siano configurati su ciascun host.

Non posso parlare per centrifuga.

Andy
fonte
0

Sono stato in ambienti che utilizzavano VAS (ora chiamato qualcos'altro, da Quest) e Centrify. Non ho mantenuto nessuno dei due sistemi, ero solo un utente. Quindi, non posso aiutarti a decidere, ma quelli sono altri nomi.

Da quello che ho visto, entrambi hanno funzionato ed entrambi hanno soddisfatto i requisiti elencati, anche se ci sono sempre stati dei singhiozzi.

mfinni
fonte
La mia esperienza generale è che VAS è un incubo quando si tratta di cose che ti aspetti (pacchetti nuovi moduli PAM, Kerberos è un po 'fuori mano), ma funziona. Per quanto ne so, tuttavia, non funzionerà con NetApps.
phresus,
Non ha familiarità con VAS ... ma Centrify funziona con NetApp.
Aaron Copley,
0

Winbind funziona bene soprattutto con l'opzione RID. Usa i server AD come maters NTP per le caselle unix, rende le cose un po 'più semplici e funziona benissimo. Fai in modo che Kerberos lavori con AD, è molto semplice, assicurati solo che ntp funzioni e che i client stiano usando annunci per dns. L'opzione RID in winbind produrrà un uid prevedibile per gli utenti e un gid per i tuoi gruppi. La configurazione di samba / winbind ti consentirà di scegliere una shell che riceveranno tutti gli utenti, non sono sicuro che puoi configurare per avere singoli shell con shell diverse, l'utente può sempre avviare qualunque shell voglia quando effettuano il login. Le restrizioni di accesso possono essere mantenute tramite sshd_config, limitando in base ai gruppi. Dovrai iniziare con le macchine più vecchie e Netapp per vedere se la versione di samba / winbind che installi supporta l'opzione RID backend.

tommyfun
fonte
1
Benvenuti in Server Fault! Preferiamo davvero che le risposte contengano contenuto non puntatori al contenuto. Sebbene ciò possa teoricamente rispondere alla domanda, sarebbe preferibile includere qui le parti essenziali della risposta e fornire il collegamento come riferimento.
user9517
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.