Em uma rede grande apenas para Linux, como você lidaria com autenticação e gerenciamento de usuários?

12

Depois de trabalhar com o Linux por anos em pequenas redes, comecei em uma empresa que mantém grandes redes Windows. Eu sei que você pode conectar um host linux em uma rede do Active Directory, mas existe uma maneira organizada e apropriada de lidar com ele se você não tiver que lidar com hosts do Windows. Puramente hipotético.

linux password-management Keith Loughnane
fonte

Respostas:

14

O equivalente mais próximo do Active Directory para Linux é o FreeIPA. O FreeIPA é fabricado pela Redhat e fornece autenticação baseada em LDAP e Kerberos a uma rede Linux ...

O FreeIPA é uma solução integrada de gerenciamento de informações de segurança que combina Linux (Fedora), 389 Directory Server, MIT Kerberos, NTP, DNS, Dogtag (Sistema de Certificação). Consiste em uma interface da web e ferramentas de administração de linha de comando.

Lembre-se, o FreeIPA é basicamente apenas o Redhat, e seria necessário muito trabalho para ser instalado no Debian / Ubuntu / qualquer que seja ...

http://freeipa.org/page/Main_Page

Soviero
fonte
Eu acho que você está dizendo que o servidor Ubuntu FreeIPA seria um trabalho árduo? Configurar um cliente Ubuntu não deve ser tão difícil.
Not Now
Não gosto do fato de que essa é uma solução única do Redhat (confiando no pôster sobre esse assunto, 0 de experiência), mas essa é definitivamente a coisa mais próxima de uma resposta à pergunta dos pais.
precisa saber é o seguinte
@ItsGC É Redhat apenas no lado do servidor IPA / Ldap.
Não agora
@NotNow Em um cliente, é mais fácil com o Redhat porque existe um comando que configura tudo, do LDAP ao NTP em uma única etapa ... Esse comando não existe no Ubuntu (AFAIK) e, portanto, você deve fazer tudo sozinho do zero ...
Soviero
Para quem estiver interessado, existe este pacote no Ubuntu 12.04 LTS: packages.ubuntu.com/precise/freeipa-client
Soviero
4

O LDAP é um protocolo de aplicativo para acessar e manter serviços de informações de diretório distribuídos em uma rede IP (Internet Protocol).

Os serviços de diretório podem fornecer qualquer conjunto organizado de registros, geralmente com uma estrutura hierárquica, como um diretório de email corporativo. Da mesma forma, uma lista telefônica é uma lista de assinantes com um endereço e um número de telefone.

Daemon of Chaos
fonte
O LDAP também é parte integrante do Active Directory.
Sven
1
Gente, eu não acho que ele perguntou o LDAP foi ...
Ryan Ries
2
LDAP é a resposta para a pergunta. Apenas forneci informações adicionais sobre o LDAP para ilustrar melhor isso.
Daemon of Chaos
Não era a resposta, eu estava procurando um mais prático, qual hardware e software você usaria como resposta.
21812 Keith Loughnane
Isso deveria ter sido especificado na sua pergunta então.
Daemon of Chaos
0

Vi grandes redes de mais de mil servidores Linux sem autenticação ou gerenciamento centralizado de usuários. Cada servidor tinha apenas contas locais, todas elas sendo mantidas individualmente.

Isso me faz estremecer. Algo como o Puppet provavelmente pode ajudar nesse departamento de sincronização de contas entre sistemas, mas não ajuda a associar os hosts a um domínio do AD.

Não acredito que sua pergunta seja sobre um equivalente do Active Directory para Linux, como o FreeIPA. Acho que sua pergunta é sobre a integração de hosts Linux em um Microsoft Active Directory existente, de modo que suas máquinas Windows e Linux estejam todas lá no mesmo diretório.

Você já sabe, como disse, que os hosts Linux podem ser "cobbled lá". Eu concordo com essa metáfora, pois é um processo confuso na minha opinião.

Além disso, também existem soluções profissionais, como o PowerBroker (anteriormente chamado de Likewise), que pode ser instalado nos hosts Linux e torna a junção deles a um domínio do AD muito mais confiável. Ele ainda incorpora alguns recursos de diretiva de grupo.

Eu acho que você provavelmente verá algo assim em uma grande empresa que deseja associar suas máquinas Linux a um domínio do Windows.

Ryan Ries
fonte
1
Título: Em uma rede grande apenas para Linux, como você lidaria com o gerenciamento de autenticação e usuário? Na pergunta: puramente hipotético. Ele descreveu uma situação real que provocou sua admiração por uma situação hipotética. Ele realmente quis dizer "como faço para gerenciar muitos hosts unix da mesma maneira que você gerencia muitos hosts do Windows com o AD"?
ItsGC
2
Estou pegando minha bola e indo para casa! : `(
Ryan Ries
2
/abraço. aqui está um biscoito.
precisa saber é o seguinte
"se você não teve que lidar com os hosts do Windows" Obrigado mesmo assim Ryan. Eu estava realmente me perguntando se havia uma maneira nativa linux melhor de gerenciar pelo menos as contas e a segurança.
Keith Loughnane
Há sim; veja minha resposta e as sugestões sobre LDAP.
MadHatter
0

eu recomendaria OpenLDAP + Kerberos ( MIT ou Heimdal ). Isso envolve deixar as mãos um pouco mais sujas do que você usaria um produto como o FreeIPA, mas em termos de desempenho, você não pode vencer o OpenLDAP.

Este link é realmente antigo, mas destaca algumas das diferenças de desempenho entre o OpenLDAP e o servidor de diretório 389 (incluído no FreeIPA):

Alguns números: Fedora Directory Server vs OpenLDAP

Claro, tenho certeza de que ambos os produtos melhoraram desde então. Eu sei que os números do OpenLDAP são muito melhores, especialmente com o novo back-end mapeado em memória mdb .

bmaupin
fonte
Um artigo tão antigo que você teve que usar a Wayback Machine? Artigo bem escrito, mas os números neste momento teriam que ser considerados anedóticos.
Aaron Copley
0

Se eu não estivesse em um ambiente particularmente preocupado com a segurança, usaria o NIS . É leve, funciona em muitos Unices, lida bem com falhas do servidor (ou seja, desde que cada cliente esteja configurado para usar vários servidores NIS ou possa encontrar vários servidores por transmissão, é robusto contra a falha do servidor atualmente vinculado) e é usado há anos (como, lembro-me de configurar servidores NIS em 1991), de modo que suas idiossincrasias são muito bem compreendidas.

Chapeleiro Louco
fonte