Распространенная мудрость об аутентификации Active Directory для серверов Linux?

В марте 2014 года Red Hat опубликовала эталонную архитектуру для интеграция Red Hat Enterprise Server с Active Directory. (Этот материал, безусловно, должен быть актуальным и актуальным.) Ненавижу публиковать его в качестве ответа, но на самом деле это слишком много материала, чтобы передать его в поле ответа.

Этот документ (исправлено). Похоже, что пресса сосредоточена на новых возможностях Red Hat Enterprise Linux (RHEL) 7. Он был опубликован для саммита на прошлой неделе.

Если эта ссылка устареет, сообщите мне, и я соответствующим образом обновлю ответ.

Я лично довольно надежно использовал WinBind для аутентификации. Очень редко происходит сбой службы, требующий, чтобы кто-то с root или другой локальной учетной записью зашел и отказался от winbindd. С этим, вероятно, можно было бы справиться с помощью надлежащего мониторинга, если вы приложите к этому усилия.

Стоит отметить, что Centrify действительно имеет дополнительные функции, хотя это может быть обеспечено отдельным управлением конфигурацией. (Марионетка и т. Д.)

Изменить 16.06.14:

Red Hat Enterprise Linux 7 Руководство по интеграции с Windows

re: «Коммерческие решения вроде Centrify и Likewise всегда работали, но казались ненужными, поскольку эта возможность встроена в ОС».

Что ж, я думаю, что большинство из нас годами слышали, что операционная система XYZ наконец-то решает задачу интеграции AD. IMHO проблема в том, что для поставщика ОС интеграция AD является функцией флажка, т.е. им нужно предоставить что-то, что вроде как работает, чтобы получить этот флажок, и этот флажок обычно работает только на ...

1. их платформа ОС и
2. текущая версия этой платформы и
3. против более новой версии Active Directory.

Реальность такова, что большинство сред не являются монолитными с точки зрения поставщика ОС и версии ОС и будут иметь более старые версии AD. Вот почему такой поставщик, как Centrify, должен поддерживать 450+ разновидностей UNIX / Linux / Mac / и т. Д. против Windows 2000 и Windows 2012 R2, а не только RHEL 7, снова Windows 2012 R2.

Кроме того, необходимо учитывать способ развертывания AD, так же как интеграция AD поставщика ОС поддерживает контроллеры домена только для чтения (RODC), односторонние доверительные отношения, поддержку нескольких лесов и т. Д. А что, если у вас есть предварительная существующее пространство UID (которое вам понадобится), существуют ли инструменты миграции для переноса UID в AD. И обращается ли поддержка AD поставщика ОС к возможности сопоставить несколько UID одному AD в ситуациях, когда пространство UID не является плоским. А как насчет ... ну, вы поняли.

Тогда есть вопрос о поддержке ...

Дело в том, что интеграция AD может показаться простой концептуально и может быть "бесплатной" с последней ОС от поставщика и, вероятно, может работать, если у вас есть только одна версия ОС от одного поставщика и есть последняя версия стандартной AD, и у вас есть контракт на премиальную поддержку с поставщиком ОС, который изо всех сил постарается исправить любые возникающие проблемы. В противном случае вам может потребоваться специализированное стороннее решение.

Параметр "Сервер для средств сетевой информационной службы" (NIS) в средствах удаленного администрирования сервера (RSAT) не рекомендуется.

Для меня это не удивительно - NIS является свидетельством того, что Sun ненавидела нас и хотела, чтобы мы были несчастными.

Используйте собственные параметры LDAP, Samba Client, Kerberos или сторонних производителей.

Это хороший совет. Учитывая варианты, я бы сказал: «Использовать собственный LDAP (через SSL, пожалуйста)» - для этого доступно множество вариантов, из которых я наиболее знаком pam_ldap + nss_ldap (от PADL) или комбинированный nss-pam-ldapd (который возник как форк и постоянно развивается и совершенствуется).

Поскольку вы спрашиваете конкретно о RedHat, стоит отметить, что RedHat предоставляет вам другие альтернативы используя SSSD.
Если ваша среда полностью построена на RedHat (или просто имеет большое количество систем RedHat), изучение официально поддерживаемого RedHat Way of Doing Things, безусловно, стоит вашего времени.

Поскольку у меня нет опыта работы с RedHat / SSSD, я просто просматриваю документацию, но она выглядит довольно надежной и хорошо продуманной.

Из предложенных методов позвольте мне дать вам список плюсов / минусов:

Прямой Kerberos / LDAP

Плюсы: отлично работает при правильной настройке. Редко ломается, устойчив, переживет сбои сети. Никаких изменений в AD, никаких изменений схемы, никаких прав администратора к AD не требуется. Свободно.

Минусы: относительно сложно настроить. Необходимо изменить несколько файлов. Не будет работать, если сервер аутентификации (Kerberos / LDAP) недоступен.

Winbind

Плюсы: Простота настройки. Базовая функциональность sudo. Свободно.

Минусы: интенсивная поддержка. Неустойчивый к сети. Если возникнет проблема с сетью, Linux-машины могут выйти из AD, что потребует перерегистрации сервера, что является задачей поддержки. Требуется доступ к учетной записи администратора AD. Может потребоваться внести изменения в схему в AD.

Центрифугируйте / Аналогично и т. Д.

Плюсы: Относительно проста в настройке.

Минусы: изменяет функциональность sudo на проприетарную, труднее поддерживать. Стоимость лицензии на сервер. Нужны дополнительные навыки для управления.

SSSD

Плюсы: Один файл конфигурации, легко настраивается. Работает со всеми существующими и будущими методами аутентификации. Масштабируемость, растет вместе с системой. Будет работать в автономном режиме. Сеть устойчива. Нет необходимости вносить какие-либо изменения в схему AD. Не требуются учетные данные администратора AD. Бесплатно, поддерживается.

Минусы: нет сервисов win, таких как автоматическое обновление DNS. Необходимо настроить общие ресурсы CIFS.

Резюме

Если посмотреть на преимущества и недостатки, SSSD - явный победитель. Если это новая система, нет причин использовать что-либо, кроме SSSD. Это интегратор, который работает со всеми существующими методами аутентификации и может расти вместе с системой, так как новые методы могут быть добавлены, когда они доступны. Он использует собственные методы Linux и намного надежнее и быстрее. Если кеширование включено, системы будут работать даже в полностью отключенных системах с полным отказом сети.

Winbind можно использовать для существующих систем, если требуется слишком много работы для внесения изменений.

У Centrify были проблемы с интеграцией, которые могли стоить дорого. Большинство ошибок исправлено в новом выпуске, но есть некоторые, которые вызывают головную боль.

Я работал со всеми этими методами, и SSSD - явный победитель. Даже для старых систем рентабельность инвестиций при переходе с Winbind на SSSD очень высока. Если нет особых причин не использовать SSSD, всегда используйте SSSD.

Обязательно прокомментируйте это:

Стоит отметить, что Centrify действительно имеет дополнительные функции, хотя это может быть обеспечено отдельным управлением конфигурацией. (Марионетка и т. Д.)

Как человек, работающий с Centrify, не уверен, откуда взялся этот комментарий. смотреть на этот и вы можете видеть, что есть множество функций, которых вы не получите с помощью инструмента управления конфигурацией, а также Puppet. Например, поддержка сопоставления нескольких UID с одной учетной записью AD (зоны), поддержка полного доверительного отношения доменов Active Directory (что не поддерживается решением Red Hat на стр. 3) и т. Д.

Но вернемся к этому руководству по Red Hat. Хорошо, что Red Hat публикует это, варианты хороши. Обратите внимание, что это дает клиенту 10 вариантов выполнения базовой интеграции AD. Большинство опций являются вариациями Winbind, и на странице 15 перечислены преимущества и недостатки каждого из них, и для каждого из них требуется несколько ручных действий (с соответствующими недостатками / отсутствием функциональности, как указано выше). Преимущество Centrify Express в том, что, по мнению других комментаторов выше:

1. легко установить без всех ручных шагов и ...
2. бесплатно и ...
3. не ограничивается Red Hat V7, что важно, поскольку вопрос касается Linux, а не только одного варианта - Centrify поддерживает более 300 разновидностей * nix и ...
4. поддерживает все варианты Windows AD, а не только Windows 2008. Они опубликовали сравнение Centrify и Winbind Вот, но это не открытый исходный код.

В конце концов, все сводится к тому, хотите ли вы скатать его самостоятельно или использовать коммерческое решение. Собственно вопрос, где ты и как проводишь время.