Gestione utenti semplice e centralizzata su una piccola LAN: NIS o LDAP?

12

Sto configurando una piccola LAN per il mio team. Non sarà, a tutti gli effetti, connesso a nessuna rete esterna. Vorrei che avesse il controllo centralizzato degli account degli utenti (almeno, penso che mi piacerebbe; sto anche considerando di usare le marionette, quindi teoricamente potrei semplicemente spingere / etc / passwd modifiche, o qualcosa del genere). Il numero di macchine è fisso, ma non molto piccolo. Per lo più sono "collegati" a un singolo utente, ma a volte le persone lavorano in remoto sulla scatola di qualcun altro; e ci sono un paio di server.

Ho letto questa domanda , ma il mio scenario è molto più semplice (anche più semplice che in questa domanda ) e mi piacerebbe fare qualcosa (relativamente) veloce, con non molta seccatura, ma non con un trucco sporco totalmente insicuro. NIS è rilevante per il mio scenario? In caso contrario, qual è il modo più semplice per configurare LDAP (o LDAP + Kerberos) per ottenere lo stesso?

Appunti:

  • Non ho esperienza con l'impostazione di NIS o LDAP.
  • Usiamo distribuzioni Linux basate su Debian, principalmente Kubuntu 12.04 (non la mia scelta, ma è così).
authentication  user-management  authorization 
einpoklum
fonte

Risposte:

19

Non penso che nessuno usi più NIS, o almeno lo voglia.

Il modo più semplice e veloce per ottenere un buon ambiente LDAP + Kerberos è FreeIPA . È abbastanza facile e leggero che lo uso persino a casa.

La Guida alla gestione dell'identità di Red Hat è un'ottima introduzione a FreeIPA e ti farà funzionare rapidamente.

Si noti che mentre Ubuntu ha FreeIPA , la versione in 12.04 LTS è più vecchia e potrebbe avere bug o funzionalità mancanti rispetto alle versioni più recenti.

Michael Hampton
fonte
Guardando il sito web, sono preoccupato che potrebbe essere legato alle distribuzioni RedHat'ish (RHEL, CentOS, Fedora). È vero?
einpoklum,
È disponibile per Debian e Ubuntu, ma perché qualcuno dovrebbe usarli? :)
Michael Hampton
1
Sembra meglio supportato su RHEL / CentOS. Quando si configura qualcosa di critico come un servizio di gestione delle identità, potrebbe essere consigliabile utilizzare la distribuzione meglio supportata, indipendentemente da ciò che utilizzano i computer client, IMHO.
mpontillo,
@Mike: la distribuzione del server non è la mia scelta, e non posso / non voglio usare un server dedicato (o server virtuale) per questo.
einpoklum,
1
Forse se fosse davvero un piccolo demone. Devi davvero dedicare una macchina (virtuale) a questo; se non puoi o non vuoi, non dovresti usare FreeIPA.
Michael Hampton
3

IAR (Internet Account Replication) è ciò che stai cercando. È principalmente uno script di shell ed è molto facile da usare. Utilizza SSH per il trasporto - nessuna bruttezza portmapper / RPC come NIS e utilizza GPG per la verifica. È stato usato in produzione su Ubuntu e Redhat. Non è LDAP, quindi sicuramente non è destinato a tutti gli scopi ... ma sostituisce NIS per la maggior parte degli usi ed è davvero facile da configurare. Detto questo, sono uno degli autori dell'hack piuttosto veloce ed elegante di IAR, quindi potrei essere un po 'di parte.

I documenti, un repository .deb e il browser del codice sorgente online sono disponibili su iar.hcn-inc.com. RPM e tarball possono essere scaricati da sourceforge.net

Peter Fedorow
fonte
Risposta interessante, ma non lavoro più nello stesso posto, quindi non posso provarlo adesso ...
einpoklum,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.