Gerenciamento de usuário simples e centralizado em uma pequena LAN - NIS ou LDAP?

12

Estou configurando uma pequena LAN para minha equipe. Para todos os efeitos, não será conectado a nenhuma rede externa. Eu gostaria que ele tivesse um controle centralizado das contas de usuário (pelo menos, acho que gostaria disso; também estou pensando em usar o fantoche, então, teoricamente, eu poderia simplesmente pressionar / etc / passwd changes, ou algo assim). O número de máquinas é fixo, mas não muito pequeno. Principalmente, eles estão "conectados" a um único usuário, mas às vezes as pessoas trabalham remotamente na caixa de outra pessoa; e há alguns servidores.

Eu li essa pergunta , mas meu cenário é muito mais simples (ainda mais simples do que nesta pergunta ) e eu gostaria de fazer algo (relativamente) rápido, sem muito aborrecimento, mas não com um truque totalmente inseguro e sujo. O NIS é relevante para o meu cenário? Caso contrário, qual é a maneira mais fácil de configurar o LDAP (ou LDAP + Kerberos) para obter o mesmo?

Notas:

  • Não tenho experiência com a configuração de NIS ou LDAP.
  • Usamos distribuições Linux com sabor Debian, principalmente o Kubuntu 12.04 (não é minha escolha, mas é assim).
einpoklum
fonte

Respostas:

19

Acho que ninguém mais usa o NIS - ou pelo menos quer.

A maneira mais rápida e fácil de obter um bom ambiente LDAP + Kerberos é o FreeIPA . É fácil e leve o suficiente para eu usá-lo em casa.

Guia de Gerenciamento de Identidade da Red Hat é uma ótima introdução ao FreeIPA e o colocará em funcionamento rapidamente.

Observe que enquanto o Ubuntu possui o FreeIPA , a versão 12.04 LTS é mais antiga e pode ter bugs ou recursos ausentes em comparação com as versões mais recentes.

Michael Hampton
fonte
Ao olhar para o site, estou preocupado que possa estar vinculado às distribuições RedHat'ish (RHEL, CentOS, Fedora). Isso é verdade?
einpoklum
Está disponível para o Debian e Ubuntu, mas por que alguém os usaria? :)
Michael Hampton
1
Parece melhor suportado no RHEL / CentOS. Ao configurar algo tão crítico quanto um serviço de gerenciamento de identidades, pode ser aconselhável usar a distribuição com melhor suporte, independentemente do que as máquinas clientes estejam usando, IMHO.
mpontillo
@ Mike: A distribuição do servidor não é minha escolha, e não posso / não quero usar um servidor dedicado (ou servidor virtual) para isso.
einpoklum
1
Talvez se fosse realmente um daemon minúsculo. Você realmente precisa dedicar uma máquina (virtual) a isso; se você não pode ou não quer, não deve usar o FreeIPA.
Michael Hampton
3

IAR (Replicação de Conta na Internet) é o que você está procurando. É principalmente um script de shell e é muito fácil de usar. Ele usa SSH para transporte - nenhuma feiura de portmapper / RPC como o NIS e usa GPG para verificação. Foi usado na produção no Ubuntu e Redhat. Não é LDAP, portanto, definitivamente não se destina a todos os fins ... mas substitui o NIS para a maioria dos usos, e é realmente fácil de configurar. Dito isto, sou um dos autores do hack rápido e elegante que o IAR é, então posso ser um pouco tendencioso.

Os documentos, um repositório .deb e o navegador de código-fonte on-line estão disponíveis em iar.hcn-inc.com. RPMs e um tarball podem ser baixados do sourceforge.net

Peter Fedorow
fonte
Resposta interessante, mas eu não trabalho no mesmo lugar mais para que eu possa não experimentá-lo agora ...
einpoklum