После многих лет работы с Linux в небольших сетях я начал работать в компании, которая обслуживает большие сети Windows. Я знаю, что вы можете подключить Linux-хост к сети Active Directory, но есть ли удобный Linux-способ справиться с этим, если вам не приходилось иметь дело с хостами Windows. Чисто гипотетически.
Ближайшим эквивалентом Active Directory для Linux является FreeIPA. FreeIPA создан Redhat и обеспечивает аутентификацию на основе LDAP и Kerberos в сети Linux ...
FreeIPA - это интегрированное решение для управления информацией о безопасности, объединяющее Linux (Fedora), 389 Directory Server, MIT Kerberos, NTP, DNS, Dogtag (система сертификатов). Он состоит из веб-интерфейса и инструментов администрирования командной строки.
Имейте в виду, что FreeIPA - это в основном только Redhat, и потребуется немало усилий, чтобы начать работу с Debian / Ubuntu / где угодно ...
LDAP - это прикладной протокол для доступа и обслуживания распределенных информационных служб каталогов в сети Интернет-протокола (IP).
Службы каталогов могут предоставлять любой организованный набор записей, часто с иерархической структурой, например корпоративный каталог электронной почты. Точно так же телефонный справочник - это список абонентов с адресом и номером телефона.
Я видел большие сети из более чем тысячи серверов Linux без централизованной аутентификации или управления пользователями. На каждом сервере были только локальные учетные записи, которые нужно было поддерживать индивидуально.
Это заставляет меня съеживаться. Что-то вроде Puppet, вероятно, может помочь в этом отделе синхронизации учетных записей в разных системах, но не поможет вам присоединить хосты к домену AD.
Я не верю, что ваш вопрос касается эквивалента Active Directory для Linux, такого как FreeIPA. Я думаю, ваш вопрос касается интеграции хостов Linux в существующий Microsoft Active Directory, чтобы все ваши машины Windows и Linux были объединены в одном каталоге.
Как вы уже сказали, вы уже знаете, что хосты Linux могут быть «заморожены». Я согласен с этой метафорой, поскольку, на мой взгляд, это запутанный процесс.
Кроме того, существуют профессиональные решения, такие как PowerBroker (ранее Likewise), которые можно установить на хосты Linux и сделать их присоединение к домену AD гораздо более надежным. Он даже включает некоторые возможности групповой политики.
Я думаю, что вы, вероятно, увидите нечто подобное на большом предприятии, которое хочет присоединить свои машины Linux к домену Windows.
я бы порекомендовал OpenLDAP + Kerberos (Массачусетский технологический институт или Хеймдаль). Это означает, что ваши руки немного грязнее, чем при использовании такого продукта, как FreeIPA, но с точки зрения производительности вы не сможете превзойти OpenLDAP.
Эта ссылка действительно старый, но он подчеркивает некоторые различия в производительности между OpenLDAP и 389 Directory server (включенным в FreeIPA):
Некоторые цифры: сервер каталогов Fedora против OpenLDAP
Конечно, я уверен, что с тех пор оба продукта улучшились. Я знаю, что показатели OpenLDAP намного лучше, особенно с новым бэкэнд с отображением памяти mdb.
Если бы я не был в среде, особо заботящейся о безопасности, я бы использовал Шекелей. Он легкий, работает на многих Unix, хорошо справляется с ошибками сервера (т. Е. При условии, что каждый клиент либо настроен на использование нескольких серверов NIS, либо может найти несколько серверов с помощью широковещательной рассылки, он устойчив к сбоям сервера, привязанного в данный момент), и был использован для лет (например, я помню, как настраивал серверы NIS в 1991 году), поэтому его особенности хорошо изучены.