Передо мной стоит задача - централизовать аутентификацию. Период.
Это потому, что я и мой большой рот сказали, что мне нравится LDAP, и что угодно может подтвердить его подлинность. У меня здесь практически все типы настольных компьютеров, Mac, Windows XP до 7, а также количество установленных дистрибутивов на основе Ubuntu и Fedora.
У меня нет проблем с прохождением всей работы по настройке. На самом деле это должно быть довольно весело, я просто хочу несколько рекомендаций о том, на какие реализации мне следует обратить внимание.
Спасибо
Изначально компьютер Windows может аутентифицироваться только в том домене AD, в котором он находится (или в домене, которому он доверяет в домене, в котором он находится.) Вы можете найти замену GINA, я считаю, что есть один для простого LDAP.
Однако, как только у вас есть домен AD, вы также получаете Kerberos и LDAP как часть сделки. Вы можете аутентифицировать OS X по AD, и вы можете использовать PAM для аутентификации компьютеров Linux по LDAP-части AD.
Я бы поместил все машины с Windows в домен, что упростило бы централизованную аутентификацию.
MAC-адреса могут аутентифицироваться по AD.
Для машин Linux я бы использовал SSSD, который обычно работает вместе с Kerberos, который при правильной реализации также позволяет изменять пароль как для учетной записи домена, так и для локальной учетной записи, а также реализует кеширование паролей для ноутбуков. Пакет sssd должен быть готов к продаже для Ubuntu и Fedora (мы используем его в Debian Squeeze, и он отлично работает).
Для различных других приложений, особенно веб-приложений, аутентификация LDAP также относительно проста в реализации, поскольку большинство языков сценариев имеют модули LDAP.
Есть несколько приложений, в которых у вас могут возникнуть проблемы. Пример: Microsoft Dynamics GP V10 и более ранние версии не поддерживают аутентификацию LDAP / AD, но это было обещано в следующей версии.