Наша компания использует в основном сервер Linux, но в основном клиенты Windows.
Я ищу решение, которое позволило бы всем нашим веб-приложениям иметь портал входа в систему (и после входа в систему вам не нужно входить в следующее приложение), а также иметь такое же имя пользователя и пароль для входа на сервер и электронная почта.
Другая проблема - разрешения. Идея настройки позволила бы мне дать людям разные права доступа к разным ресурсам. Так, например, люди, у которых есть права администратора для управления версиями, не могут войти в систему как root на серверах Linux.
В настоящее время пароль root одинаков на всех серверах Linux, и мы не используем открытые ключи для SSH (я знаю, что должен это сделать, я исследую)
Я знаю, что Exchange требует использования ActiveDirectory, поэтому мне интересно, есть ли решение, которое позволило бы мне добавить все эти функции поверх ActiveDirectory.
Я провел небольшое исследование и этот вероятно, будет заниматься веб-порталом для наших веб-приложений. Однако остальное я все еще не понимаю.
Я знаю, что это многого требует, я просто хочу почувствовать, что там есть.
Я думаю, что вы на правильном пути. У нас очень похожая установка, хотя у нас также есть несколько серверов Windows. Наша пользовательская база на 70% состоит из Linux (в основном Debian) и на 30% из MS Windows.
Мы используем Active Directory (почти) для всего. ADS имеет встроенный интерфейс LDAP, а также доступны клиентские библиотеки для аутентификации пользователей на машинах Linux (вам потребуются службы Windows для Unix).
Вы можете добавить объекты «Приложение» в свою Active Directory, а затем определить в них определенные группы безопасности. Затем настройте различных клиентов для использования этих групп, чтобы получить очень точный контроль над доступом к вашим различным приложениям и порталам. (для этого используйте подключаемый модуль «Пользователи и группы AD» на контроллере домена Windows).
Вы можете использовать указанные выше библиотеки Linux (прежде всего libnss-ldap и pam_ldap) вместе с некоторыми изменениями в вашей конфигурации PAM, чтобы включить учетные записи пользователей Windows на серверах Linux (это также можно связать через Kerberos, что позволит пользователям Linux обновлять свои пароли AD. и их локальные пароли одновременно).
Если вам нужна дополнительная информация, дайте мне знать, и я могу переслать целую кучу файлов примеров о том, как это работает. Работает для нас удовольствие.
CAS хорошее решение