Я пытаюсь найти способ централизовать управление пользователями и аутентификацию для большой коллекции серверов Windows и Linux, включая сетевые устройства (Cisco, HP, Juniper). Варианты включают RADIUS / LDAP / TACACS / ... Идея состоит в том, чтобы отслеживать изменения персонала и доступ к этим устройствам.
Предпочтительно система, совместимая как с Linux, так и с Windows и этими сетевыми устройствами. Похоже, что Windows - самая упрямая из всех, для Linux и сетевого оборудования проще реализовать решение (например, с помощью PAM.D).
Стоит ли искать решение Active Directory / контроллера домена для Windows? Забавное примечание; мы также управляем клиентскими системами, которые часто уже находятся в домене. Доверительные отношения между контроллерами домена не всегда подходят для нас (из-за ограничений безопасности клиента).
Я хотел бы услышать свежие идеи о том, как реализовать такой централизованный «портал» аутентификации для этих систем.
Множество вещей можно аутентифицировать в домене AD напрямую, используя kerberos.
Вы можете управлять авторизацией с помощью ldap, если вы включите анонимные привязки на серверах AD.
Вы также можете настроить сервер AD как сервер NIS. Я занимаюсь этим, и это не кажется тривиальным, но также и не очень сложным. NIS + Kerberos аккуратно решает проблему устаревших систем, которые могут не иметь напрямую модулей pam_ldap.
Наконец, вы можете использовать сервер AD в качестве сервера RADIUS, который аккуратно решает проблему «доступа к случайным сетевым / удаленным устройствам».
Я в основном сторонник Unix, и большая часть настроек, которые вам нужно выполнить на сервере AD, чтобы заставить его выполнять эти вещи, разочаровывает, но это действительно Трудно спорить с универсальным покупателем, который вы получаете с AD. У Microsoft, возможно, было много неприятностей за эти годы, но Active Directory - действительно фантастическая технология.
Для этого есть решение. Он называется KerberosV5. Он делает все, что вам нужно, и есть хорошая поддержка со стороны Windows, Linux, Unix и сетевых устройств. Посмотри на это.
Спасибо за ответ по Kerberos V5, он определенно выглядит многообещающим.
Другой инструмент, созданный самой Microsoft, - Forefront Identity Manager (FIM), который позволяет идентифицировать управление, не помещая серверы в домен.
http://www.microsoft.com/forefront/identitymanager/en/us/default.aspx
Я опасаюсь публиковать предложения по коммерческому инструменту, но начнем ... FoxT "BoKS Access Control" предлагает вам детальный контроль над учетными записями пользователей и разрешениями на доступ к сети для систем Unix, Linux, VMWare и Windows.
К сожалению, он не поддерживает сетевое оборудование.
http://kbase.redhat.com/faq/docs/DOC-4735
http://kbase.redhat.com/faq/docs/DOC-3639
выше в документе kbase есть пример, который может помочь !!