Назад | Перейти на главную страницу

Управление учетными записями пользователей Linux + Samba + другое

У меня есть сеть примерно из 3-6 серверов CentOS с примерно 5-10 пользователями (в настоящее время и в ближайшем будущем). Ищу решение для централизованного управления пользователями.

Мои требования от него:

  1. Аутентификация Linux (вход на серверы)
  2. Интеграция с Samba - только для открытия файлов Linux в Windows; Я не хочу использовать это решение для входа в машины Windows
  3. API для других сервисов, которым требуется аутентификация, например Redmine или на открытом воздухе
  4. Простое управление

Пробовал OpenLDAP, но он кажется слишком сложным для моей небольшой сети. Затем я установил RedHat IdM (= FreeIPA), который легко установить и очень приятно администрировать. Он также основан на LDAP, поэтому я подумал, что он будет хорошо работать с другими игроками.

Удивительно, но кажется, что IdM / FreeIPA плохо интегрируется с Samba. Кроме того, похоже, что я ошибался, и IdM / FreeIPA не предоставляет свою базу данных LDAP другим службам - они должны быть керберизованы, что усложняет бизнес ...

Итак, разумное решение, похоже, - вернуться к LDAP. Я прав?

Но даже с LDAP я не уверен, какой подход правильный ...

  1. Сервер OpenLDAP / 389
  2. Samba3 с бэкэндом LDAP или Samba4 со встроенным LDAP
  3. https://gna.org/projects/smbldap-tools/

Я даже не уверен, что задаю правильный вопрос :)

Это немного сложно из-за пункта 3. LDAP в IPA доступен только не анонимно, поэтому вам нужно либо керберизовать приложения, выполняющие запросы, либо предоставить им общую учетную запись для привязки. Большинство приложений, которые я видел, поддерживают это.

Из вики samba: «Обратите внимание, что вы не можете указать Samba4 на свой существующий сервер OpenLDAP и ожидать, что все будет работать».

Честно говоря, в зависимости от специфики требования 3 для такой небольшой среды я бы посоветовал вам использовать Active Directory (я предполагаю, что он у вас уже есть) через sssd и в качестве back-end для samba. Это самое простое и удобное в обслуживании решение при условии, что оно поддерживается req 3.

Я бы выбрал какое-нибудь решение на основе LDAP из-за гибкости и широкой поддержки, а для мира GNU / Linux лучшим выбором является OpenLdap. Вначале мир ldap несколько тривиален, но достаточно надежен.

Тебе нужно:

  • сервер OpenLdap, может быть, два (в режиме поставщик-потребитель), если вам нужна архитектура высокой доступности с установленной схемой Samba

  • сервер Samba, настроенный для получения пользователей и групп с использованием Openldap в качестве бэкэнда и для предоставления некоторых общих ресурсов

  • Инструменты smbdlap для управления (добавления, редактирования, удаления) пользователей и групп из командной строки

  • веб-интерфейс для простого управления (добавление, редактирование, удаление) пользователей и групп, я предлагаю fusiondirectory или в качестве альтернативы локальный клиент ldap

  • конфигурации и пакеты для включения поддержки ldap в pam и nss для входа в GNU linux.

Вокруг есть несколько неплохих учебных пособий по этой настройке.

Если вы не хотите создавать все с нуля, вы можете попробовать Univention Corporate Server (UCS). Я работаю в Univention, поэтому хорошо это знаю. Это операционная система корпоративного уровня на основе Debian, которая хорошо работает с управлением доменами и идентификационными данными в гетерогенных средах. Существует также бесплатная версия Core Edition, в которой есть все необходимые вам функции.

Помимо прочего, он обеспечивает:

  1. аутентификация для клиентов через LDAP и / или Kerberos
  2. разделяется через NFS и / или Samba (также возможно Samba 4 / AD)
  3. аутентификация для внешних служб - подробности см. ниже
  4. приятный веб-интерфейс администрирования

Как заметил Энди, обычно вы не хотите открывать свой каталог LDAP без аутентификации (анонимно). Рекомендуется создать специального пользователя в каталоге LDAP и использовать этого пользователя в стороннем приложении для аутентификации при запросе каталога LDAP.

В Univention Wiki есть даже статьи для Redmine и Alfresco: Классное решение - установите Redmine и настройте аутентификацию ldap Классное решение - Alfresco

Дополнительная информация о UCS на Сайт Univention.

Надеюсь, я помог тебе, Марен