Dopo aver lavorato con Linux per anni in reti di piccole dimensioni, ho iniziato in un'azienda che gestisce reti Windows di grandi dimensioni. So che puoi collegare un host Linux su una rete di Active Directory, ma esiste un modo ordinato per gestire Linux se non hai a che fare con host Windows. Puramente ipotetico.
Risposte:
L'equivalente più vicino ad Active Directory per Linux è FreeIPA. FreeIPA è realizzato da Redhat e fornisce autenticazione basata su LDAP e Kerberos a una rete Linux ...
FreeIPA è una soluzione integrata di gestione delle informazioni di sicurezza che combina Linux (Fedora), 389 Directory Server, MIT Kerberos, NTP, DNS, Dogtag (Sistema di certificazione). Consiste in un'interfaccia Web e strumenti di amministrazione della riga di comando.
Ricorda, FreeIPA è in gran parte solo Redhat e richiederebbe un bel po 'di lavoro per essere operativo su Debian / Ubuntu / qualunque cosa ...
LDAP è un protocollo applicativo per l'accesso e la manutenzione di servizi di informazioni di directory distribuite su una rete IP (Internet Protocol).
I servizi di directory possono fornire qualsiasi set organizzato di record, spesso con una struttura gerarchica, come una directory di posta elettronica aziendale. Allo stesso modo, un elenco telefonico è un elenco di abbonati con un indirizzo e un numero di telefono.
Ho visto grandi reti di oltre mille server Linux senza autenticazione o gestione centralizzata dell'utente. Ogni singolo server aveva solo account locali che dovevano essere gestiti singolarmente.
Questo mi fa rabbrividire. Qualcosa come Puppet può probabilmente aiutare in quel reparto di sincronizzazione degli account tra i sistemi, ma non ti aiuterà a unire gli host a un dominio AD.
Non credo che la tua domanda riguardi un equivalente di Active Directory per Linux, come FreeIPA. Penso che la tua domanda riguardi l'integrazione degli host Linux in una Microsoft Active Directory esistente in modo tale che le tue macchine Windows e le macchine Linux siano tutte unite nella stessa directory.
Sai già, come hai detto, che gli host Linux possono essere "accodati". Concordo con quella metafora, poiché secondo me è un processo disordinato.
Quindi, esistono anche soluzioni professionali come PowerBroker (precedentemente Likewise) che è installabile sui tuoi host Linux e rende molto più affidabile unirli a un dominio AD. Incorpora persino alcune funzionalità dei criteri di gruppo.
Penso che probabilmente vedrai qualcosa del genere in una grande impresa che vuole unire le sue macchine Linux a un dominio Windows.
Consiglierei OpenLDAP + Kerberos ( MIT o Heimdal ). Implica avere le mani un po 'più sporche di quanto si userebbe con un prodotto come FreeIPA, ma dal punto di vista delle prestazioni, non puoi battere OpenLDAP.
Questo link è davvero vecchio, ma evidenzia alcune delle differenze di prestazioni tra OpenLDAP e 389 Directory server (incluso in FreeIPA):
Alcuni numeri: Fedora Directory Server vs OpenLDAP
Certo, sono sicuro che entrambi i prodotti sono migliorati da allora. So che i numeri di OpenLDAP sono molto migliori, specialmente con il nuovo backend mappato in memoria mdb .
Se non fossi in un ambiente particolarmente attento alla sicurezza, utilizzerei NIS . È leggero, funziona su molti Unices, gestisce bene i guasti del server (ovvero, a condizione che ogni client sia configurato per utilizzare più server NIS o possa trovare più server in trasmissione, è robusto contro il fallimento del server attualmente associato) e è stato usato per anni (come in, ricordo di aver configurato i server NIS nel 1991), quindi le sue idiosincrasie sono abbastanza ben comprese.