Компания, в которой я работаю, приступает к замене существующей локальной структуры NIS / YP на LDAP.
У нас уже есть AD для работы с Windows, и мы хотели бы рассмотреть возможность использования системы AD. Специалисты AD весьма ограничительны и не поддерживают обширные модификации.
Нам необходимо, чтобы замена включала поддержку всех возможностей пакета NIS / YP, включая сетевые группы, ограничения входа на определенные серверы для определенных пользователей или групп пользователей, согласованные пароли между средой * nix и Windows и т. Д. Наша среда представляет собой смесь Linux (suse, RH, Debian), Sun, IBM, HP и MPRAS, а также NETAPP. Итак, все, что мы используем, должно быть полностью охватывающим все окружение.
Мы смотрели на то же самое, но наше руководство хочет, чтобы для сравнения были другие альтернативы.
На что еще мне следует обратить внимание и как вы оцениваете альтернативу?
Спасибо
вы можете попробовать freeipa (http://freeipa.org) от ребят из Redhat. Он предназначен для замены nis / yp и дает вам керберизованную среду в качестве бонуса. Конечно, вы можете просто подключить клиентов с помощью pam_ldap, но тогда вы потеряете единую регистрацию.
Кстати, вы также можете синхронизировать пользователей с AD.
Раньше у Microsoft было что-то под названием Services For Unix (это все еще существует, но с другим названием: теперь это «Подсистема для приложений на базе UNIX (SUA)»). Среди включенных функций был шлюз AD-to-NIS, который позволяет вы должны создать домен NIS, который будет эффективно подчиняться вашему домену AD.
Вероятно, это путь наименьшего сопротивления для вас, поскольку ваша среда unix неоднородна - все, что понимает NIS, поймет сервер MS NIS, потому что, что касается ваших систем unix, это все еще простой старый сервер NIS.
Другой вариант - pam_ldapd (или pam_ldap + nss_ldap) - это будет напрямую запрашивать ваши серверы AD и уйти от некоторых ограничений NIS, но я не знаю, насколько хороша поддержка сетевых групп и тому подобное (я знаю pam_ldap + nss_ldap не поддерживает рабочую сетевую группу во FreeBSD).
Учитывая, что у вас уже есть собственная AD, я рекомендую рассмотреть возможность настройки Freeipa / Redhat IDM в качестве доверенного домена активного каталога. Помимо бесплатности, это позволяет вам использовать всю существующую информацию о пользователях и группах в AD, а также настраивать средства управления доступом и политики в ipa.
Вы также получаете потенциал Kerberos & sso. IPA в этой настройке представляет группы объявлений как сетевые группы (например, nis).
Он поставляется с приятным веб-интерфейсом и внутренним контролем доступа на основе ролей (например, кто может присоединять хосты к области Kerberos, кто может управлять sudo и т. Д.).
Любой клиент должен иметь возможность пройти аутентификацию по ipa или AD.
QAS (любая версия) - идеальное решение, на мой взгляд, за исключением стоимости, которая может быть безумной. Это также требует изменения схемы на AD, что само по себе нормально, но вашим парням из AD это может не понравиться.
Новые версии winbind намного более стабильны, чем 3.x, но требуют, чтобы на каждом хосте были настроены политики доступа (sudo, ssh).
Я не могу говорить за центрифугу.
Я был в средах, в которых использовались VAS (теперь они называются как-то иначе от Quest) и Centrify. Я не поддерживал ни одну из систем, я был всего лишь пользователем. Итак, я не могу помочь вам решить, но это еще несколько имен.
Из того, что я видел, оба работали, и оба соответствовали перечисленным вами требованиям, хотя всегда были некоторые проблемы.
Winbind отлично работает, особенно с опцией RID. Используйте серверы AD в качестве материалов NTP для ящиков unix, это немного упрощает работу и отлично работает. Затем заставьте kerberos работать с AD, это очень просто, просто убедитесь, что ntp работает и клиенты используют рекламу для DNS. Опция RID в winbind создаст предсказуемый uid для пользователей и gid для ваших групп. Конфигурация samba / winbind позволит вам выбрать оболочку, которую получат все пользователи, я не уверен, что вы можете настроить, чтобы отдельные пользователи имели разные оболочки, пользователь всегда может запустить любую оболочку, которую он хочет, при входе в систему. Ограничения входа в систему могут поддерживаться через sshd_config, ограничивая на основе групп. Вам нужно будет начать со старых машин и NetApp, чтобы увидеть, поддерживает ли версия samba / winbind, которую вы устанавливаете, опцию RID серверной части.