Мы реализовали решение LDAP для NIS и начали перевод некоторых систем на собственную привязку LDAP для аутентификации и автоматического монтирования карт. К сожалению, у нас очень смешанная среда с более чем 20 * nix средами. Настройка для каждого варианта, конечно, уникальна и требует различных обходных путей для получения полной функциональности. Сейчас мы подошли к тому моменту, когда мы готовы пересмотреть решение и, возможно, перейти к чему-то вроде Likewise (http://www.likewise.org), но хотелось бы знать, что другие используют для решения этой проблемы.
@ Эйвери,
По сути, это то, что делает Likewise Open. Он использует Kerberos (через PAM) для аутентификации пользователя. Он также предоставляет модули NSSWITCH для выполнения сопоставления SID-> ID (с использованием различных алгоритмов, некоторые на основе LDAP, некоторые на основе хешей).
У него есть несколько преимуществ перед обычным старым pam_krb5:
Привет,
Мэнни Веллон, технический директор Likewise
Раньше у меня было 40 серверов Linux, все с локальной аутентификацией. Жизнь была адом.
Я наконец решил проблему, построив инфраструктуру Active Direcotry и реализовав Likewise Open для аутентификации всех моих машин (плюс samba, ftp, jabber и полдюжины веб-приложений).
Теперь у меня есть 80-100 серверов, использующих одну и ту же аутентификацию, и моим пользователям это нравится (но не так сильно, как мне).
Я ни разу не пожалел об использовании Likewise. Я так много говорила об этом в своем блоге, что мне прислали футболку!
Многие компании используют подобным образом, и он работает очень хорошо. У нас было около 20 серверов, использующих собственных пользователей, и мы перешли на Likewise, и жизнь стала намного проще.
Мы «решили» проблему путем стандартизации на RHEL / CentOS. Это также решает множество других проблем с переносимостью.
Что касается LDAP, мы тоже его используем, но интерфейс между ldap и NSS далек от совершенства (то же самое касается любой другой сетевой службы). Если бы у меня было время, я бы занялся развертыванием nsscache вместо того nss_ldap. Или даже заменить pam_ldap и nss_ldap с помощью winbind, чтобы лучше интегрироваться с нашей средой Windows (это тоже вариант winbind, не так ли?).