Я возился со службами для unix 3.5 уже два дня, и быстро никуда не денусь.
Позвольте мне объяснить нашу ситуацию. У нас есть несколько сотен серверов Linux и сотни настольных компьютеров под управлением Windows, несколько десятков серверов server 2003/8 и несколько серверов as400. У нас 900 сотрудников, и большинство из них - разработчики. У каждого отдела есть своя собственная группа серверов и компьютеров, которые они покупают, а мы в поддержке MIS. Становится все труднее управлять всеми пользователями, которые приходят и уходят, и пытаться выяснить, какие имена пользователей на каких серверах. Черт возьми, иногда бывает сложно узнать, к каким серверам у них был доступ. Но мы хотим, чтобы все пользователи Windows и Linux могли пройти аутентификацию вне нашей рекламы. Таким образом, когда мы добавляем пользователя и помещаем его в правильную группу, он теперь может входить в компьютеры, принадлежащие этой группе. Когда они меняют свой пароль, он меняется во всех системах, и когда мы убираем их красный степлер, и они щелкают, мы можем немедленно отказать им в доступе.
Перед тем, как публиковать сообщения, да, мы планируем очистить нашу AD и настроить имена пользователей, чтобы они были максимально приближены к каким-то стандартам. Сейчас мы находимся на этапе тестирования и только что получили новых сотрудников, поэтому мы можем перейти от этапа тушения пожара к этапу передового опыта.
Является ли SFU, использующая NIS, лучшим способом решения этой проблемы? Как бы вы реализовали нечто подобное?
Если вы просто ищете аутентификацию, я бы установил ldap auth на машинах Linux и AS400. Использование NIS SFU действительно работает, хотя, в первую очередь, сложно заставить работать.
На Linux.com есть хорошая статья для начинающих.
В Four Hundred Guru есть статья об интеграции с AD., хотя это не так пошагово, как в предыдущем. Честно говоря, я не так хорошо знаком с AS400, так что, возможно, кто-то еще поделится дополнительной информацией.
Вам не нужны SFU или что-то еще, кроме LDAP. Секрет в том, что вы должны добавить выделенную учетную запись пользователя AD без блокировки / истечения срока действия PW, и этот пользователь ничего не делает, кроме выполнения запросов LDAP к AD. Затем настройте LDAP на всех ваших Linux-компьютерах. В ldap.conf вы указываете этого пользователя и пароль в директивах binddn и bindpw. У меня это сработало отлично.
К вашему сведению - настройте сетевое время! У меня была плохая конфигурация NTP на одном из моих серверов Linux. Совместное использование файлов Linux-> AD + Samba отлично работало в течение нескольких месяцев, затем часы отошли на пять минут от контроллеров домена AD, и они сломались.