У меня есть сеть примерно из 3-6 серверов CentOS с примерно 5-10 пользователями (в настоящее время и в ближайшем будущем). Ищу решение для централизованного управления пользователями.
Мои требования от него:
Пробовал OpenLDAP, но он кажется слишком сложным для моей небольшой сети. Затем я установил RedHat IdM (= FreeIPA), который легко установить и очень приятно администрировать. Он также основан на LDAP, поэтому я подумал, что он будет хорошо работать с другими игроками.
Удивительно, но кажется, что IdM / FreeIPA плохо интегрируется с Samba. Кроме того, похоже, что я ошибался, и IdM / FreeIPA не предоставляет свою базу данных LDAP другим службам - они должны быть керберизованы, что усложняет бизнес ...
Итак, разумное решение, похоже, - вернуться к LDAP. Я прав?
Но даже с LDAP я не уверен, какой подход правильный ...
Я даже не уверен, что задаю правильный вопрос :)
Это немного сложно из-за пункта 3. LDAP в IPA доступен только не анонимно, поэтому вам нужно либо керберизовать приложения, выполняющие запросы, либо предоставить им общую учетную запись для привязки. Большинство приложений, которые я видел, поддерживают это.
Из вики samba: «Обратите внимание, что вы не можете указать Samba4 на свой существующий сервер OpenLDAP и ожидать, что все будет работать».
Честно говоря, в зависимости от специфики требования 3 для такой небольшой среды я бы посоветовал вам использовать Active Directory (я предполагаю, что он у вас уже есть) через sssd и в качестве back-end для samba. Это самое простое и удобное в обслуживании решение при условии, что оно поддерживается req 3.
Я бы выбрал какое-нибудь решение на основе LDAP из-за гибкости и широкой поддержки, а для мира GNU / Linux лучшим выбором является OpenLdap. Вначале мир ldap несколько тривиален, но достаточно надежен.
Тебе нужно:
сервер OpenLdap, может быть, два (в режиме поставщик-потребитель), если вам нужна архитектура высокой доступности с установленной схемой Samba
сервер Samba, настроенный для получения пользователей и групп с использованием Openldap в качестве бэкэнда и для предоставления некоторых общих ресурсов
Инструменты smbdlap для управления (добавления, редактирования, удаления) пользователей и групп из командной строки
веб-интерфейс для простого управления (добавление, редактирование, удаление) пользователей и групп, я предлагаю fusiondirectory или в качестве альтернативы локальный клиент ldap
конфигурации и пакеты для включения поддержки ldap в pam и nss для входа в GNU linux.
Вокруг есть несколько неплохих учебных пособий по этой настройке.
Если вы не хотите создавать все с нуля, вы можете попробовать Univention Corporate Server (UCS). Я работаю в Univention, поэтому хорошо это знаю. Это операционная система корпоративного уровня на основе Debian, которая хорошо работает с управлением доменами и идентификационными данными в гетерогенных средах. Существует также бесплатная версия Core Edition, в которой есть все необходимые вам функции.
Помимо прочего, он обеспечивает:
Как заметил Энди, обычно вы не хотите открывать свой каталог LDAP без аутентификации (анонимно). Рекомендуется создать специального пользователя в каталоге LDAP и использовать этого пользователя в стороннем приложении для аутентификации при запросе каталога LDAP.
В Univention Wiki есть даже статьи для Redmine и Alfresco: Классное решение - установите Redmine и настройте аутентификацию ldap Классное решение - Alfresco
Дополнительная информация о UCS на Сайт Univention.
Надеюсь, я помог тебе, Марен