In una grande rete solo Linux come gestiresti l'autenticazione e la gestione degli utenti?


12

Dopo aver lavorato con Linux per anni in reti di piccole dimensioni, ho iniziato in un'azienda che gestisce reti Windows di grandi dimensioni. So che puoi collegare un host Linux su una rete di Active Directory, ma esiste un modo ordinato per gestire Linux se non hai a che fare con host Windows. Puramente ipotetico.

Risposte:


14

L'equivalente più vicino ad Active Directory per Linux è FreeIPA. FreeIPA è realizzato da Redhat e fornisce autenticazione basata su LDAP e Kerberos a una rete Linux ...

FreeIPA è una soluzione integrata di gestione delle informazioni di sicurezza che combina Linux (Fedora), 389 Directory Server, MIT Kerberos, NTP, DNS, Dogtag (Sistema di certificazione). Consiste in un'interfaccia Web e strumenti di amministrazione della riga di comando.

Ricorda, FreeIPA è in gran parte solo Redhat e richiederebbe un bel po 'di lavoro per essere operativo su Debian / Ubuntu / qualunque cosa ...

http://freeipa.org/page/Main_Page


Penso che stai dicendo che il server Ubuntu FreeIPA sarebbe un duro lavoro? Configurare un Ubuntu client non dovrebbe essere così difficile.
Non ora il

non mi piace il fatto che questa sia una soluzione di Redhat (fidarsi del poster su questo argomento, 0 esperienza con esso), ma questa è sicuramente la cosa più vicina a una risposta alla domanda dei genitori.
ItsGC

@ItsGC È Redhat solo sul lato server IPA / Ldap.
Non ora il

@NotNow Su un client, con Redhat è più facile perché esiste un comando che configura tutto da LDAP a NTP in un solo passaggio ... Questo comando non esiste su Ubuntu (AFAIK), quindi dovresti fare tutto da solo ...
Soviero,

Per chiunque sia interessato, c'è questo pacchetto in Ubuntu 12.04 LTS: pacchetti.ubuntu.com/precise/freeipa-client
Soviero

4

LDAP è un protocollo applicativo per l'accesso e la manutenzione di servizi di informazioni di directory distribuite su una rete IP (Internet Protocol).

I servizi di directory possono fornire qualsiasi set organizzato di record, spesso con una struttura gerarchica, come una directory di posta elettronica aziendale. Allo stesso modo, un elenco telefonico è un elenco di abbonati con un indirizzo e un numero di telefono.


LDAP è anche parte integrante di Active Directory.
Sven

1
Ragazzi, non credo che abbia chiesto cosa fosse LDAP ...
Ryan Ries,

2
LDAP è la risposta alla domanda. Ho semplicemente fornito ulteriori informazioni su LDAP per illustrarlo ulteriormente.
Daemon of Chaos,

Non era la risposta, stavo cercando una soluzione più pratica, quale hardware e software avresti usato per rispondere.
Keith Loughnane,

Ciò avrebbe dovuto essere specificato nella tua domanda allora.
Daemon of Chaos,

0

Ho visto grandi reti di oltre mille server Linux senza autenticazione o gestione centralizzata dell'utente. Ogni singolo server aveva solo account locali che dovevano essere gestiti singolarmente.

Questo mi fa rabbrividire. Qualcosa come Puppet può probabilmente aiutare in quel reparto di sincronizzazione degli account tra i sistemi, ma non ti aiuterà a unire gli host a un dominio AD.

Non credo che la tua domanda riguardi un equivalente di Active Directory per Linux, come FreeIPA. Penso che la tua domanda riguardi l'integrazione degli host Linux in una Microsoft Active Directory esistente in modo tale che le tue macchine Windows e le macchine Linux siano tutte unite nella stessa directory.

Sai già, come hai detto, che gli host Linux possono essere "accodati". Concordo con quella metafora, poiché secondo me è un processo disordinato.

Quindi, esistono anche soluzioni professionali come PowerBroker (precedentemente Likewise) che è installabile sui tuoi host Linux e rende molto più affidabile unirli a un dominio AD. Incorpora persino alcune funzionalità dei criteri di gruppo.

Penso che probabilmente vedrai qualcosa del genere in una grande impresa che vuole unire le sue macchine Linux a un dominio Windows.


1
Titolo: In una grande rete solo Linux come gestiresti Autenticazione e Gestione utenti? Nella domanda: puramente ipotetico. Descrisse una situazione reale che scatenò il suo chiedersi una situazione ipotetica. Intendeva davvero "come gestisco molti host unix nello stesso modo in cui gestiresti molti host windows con AD"?
ItsGC

2
Sto prendendo la mia palla e vado a casa! : `(
Ryan Ries,

2
/abbraccio. ecco un cookie.
ItsGC,

"se non avessi a che fare con host di Windows" Grazie comunque Ryan. Mi chiedevo davvero se esistesse un modo nativo migliore per Linux di gestire almeno gli account e la sicurezza.
Keith Loughnane,

C'è; vedere la mia risposta e i suggerimenti su LDAP.
MadHatter,

0

Consiglierei OpenLDAP + Kerberos ( MIT o Heimdal ). Implica avere le mani un po 'più sporche di quanto si userebbe con un prodotto come FreeIPA, ma dal punto di vista delle prestazioni, non puoi battere OpenLDAP.

Questo link è davvero vecchio, ma evidenzia alcune delle differenze di prestazioni tra OpenLDAP e 389 Directory server (incluso in FreeIPA):

Alcuni numeri: Fedora Directory Server vs OpenLDAP

Certo, sono sicuro che entrambi i prodotti sono migliorati da allora. So che i numeri di OpenLDAP sono molto migliori, specialmente con il nuovo backend mappato in memoria mdb .


Un articolo così vecchio che hai dovuto usare la Wayback Machine? Articolo ben scritto, ma i numeri a questo punto dovrebbero essere considerati aneddotici.
Aaron Copley,

0

Se non fossi in un ambiente particolarmente attento alla sicurezza, utilizzerei NIS . È leggero, funziona su molti Unices, gestisce bene i guasti del server (ovvero, a condizione che ogni client sia configurato per utilizzare più server NIS o possa trovare più server in trasmissione, è robusto contro il fallimento del server attualmente associato) e è stato usato per anni (come in, ricordo di aver configurato i server NIS nel 1991), quindi le sue idiosincrasie sono abbastanza ben comprese.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.