Gestione utenti semplice e centralizzata su una piccola LAN: NIS o LDAP?


12

Sto configurando una piccola LAN per il mio team. Non sarà, a tutti gli effetti, connesso a nessuna rete esterna. Vorrei che avesse il controllo centralizzato degli account degli utenti (almeno, penso che mi piacerebbe; sto anche considerando di usare le marionette, quindi teoricamente potrei semplicemente spingere / etc / passwd modifiche, o qualcosa del genere). Il numero di macchine è fisso, ma non molto piccolo. Per lo più sono "collegati" a un singolo utente, ma a volte le persone lavorano in remoto sulla scatola di qualcun altro; e ci sono un paio di server.

Ho letto questa domanda , ma il mio scenario è molto più semplice (anche più semplice che in questa domanda ) e mi piacerebbe fare qualcosa (relativamente) veloce, con non molta seccatura, ma non con un trucco sporco totalmente insicuro. NIS è rilevante per il mio scenario? In caso contrario, qual è il modo più semplice per configurare LDAP (o LDAP + Kerberos) per ottenere lo stesso?

Appunti:

  • Non ho esperienza con l'impostazione di NIS o LDAP.
  • Usiamo distribuzioni Linux basate su Debian, principalmente Kubuntu 12.04 (non la mia scelta, ma è così).

Risposte:


19

Non penso che nessuno usi più NIS, o almeno lo voglia.

Il modo più semplice e veloce per ottenere un buon ambiente LDAP + Kerberos è FreeIPA . È abbastanza facile e leggero che lo uso persino a casa.

La Guida alla gestione dell'identità di Red Hat è un'ottima introduzione a FreeIPA e ti farà funzionare rapidamente.

Si noti che mentre Ubuntu ha FreeIPA , la versione in 12.04 LTS è più vecchia e potrebbe avere bug o funzionalità mancanti rispetto alle versioni più recenti.


Guardando il sito web, sono preoccupato che potrebbe essere legato alle distribuzioni RedHat'ish (RHEL, CentOS, Fedora). È vero?
einpoklum,

È disponibile per Debian e Ubuntu, ma perché qualcuno dovrebbe usarli? :)
Michael Hampton

1
Sembra meglio supportato su RHEL / CentOS. Quando si configura qualcosa di critico come un servizio di gestione delle identità, potrebbe essere consigliabile utilizzare la distribuzione meglio supportata, indipendentemente da ciò che utilizzano i computer client, IMHO.
mpontillo,

@Mike: la distribuzione del server non è la mia scelta, e non posso / non voglio usare un server dedicato (o server virtuale) per questo.
einpoklum,

1
Forse se fosse davvero un piccolo demone. Devi davvero dedicare una macchina (virtuale) a questo; se non puoi o non vuoi, non dovresti usare FreeIPA.
Michael Hampton

3

IAR (Internet Account Replication) è ciò che stai cercando. È principalmente uno script di shell ed è molto facile da usare. Utilizza SSH per il trasporto - nessuna bruttezza portmapper / RPC come NIS e utilizza GPG per la verifica. È stato usato in produzione su Ubuntu e Redhat. Non è LDAP, quindi sicuramente non è destinato a tutti gli scopi ... ma sostituisce NIS per la maggior parte degli usi ed è davvero facile da configurare. Detto questo, sono uno degli autori dell'hack piuttosto veloce ed elegante di IAR, quindi potrei essere un po 'di parte.

I documenti, un repository .deb e il browser del codice sorgente online sono disponibili su iar.hcn-inc.com. RPM e tarball possono essere scaricati da sourceforge.net


Risposta interessante, ma non lavoro più nello stesso posto, quindi non posso provarlo adesso ...
einpoklum,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.