Sabedoria comum sobre autenticação do Active Directory para servidores Linux?

31

O que é a sabedoria comum em 2014 sobre a autenticação do Active Directory / integração para servidores Linux e modernos sistemas operacionais Windows Server (CentOS / RHEL com foco)?

Ao longo dos anos desde as minhas primeiras tentativas de integração em 2004, parece que as melhores práticas para isso mudaram. Não tenho muita certeza de qual método atualmente tem mais impulso.

No campo, eu vi:

Winbind / Samba
Hetero-up LDAP
Às vezes LDAP + Kerberos
Microsoft Windows Services for Unix (SFU)
Microsoft Identity Management for UNIX
nslcd
SSSD
FreeIPA
Centrify
PowerBroker ( née Da mesma forma )

Winbind sempre parecia terrível e não confiável. As soluções comerciais como Centrify e Likewise sempre funcionavam, mas pareciam desnecessárias, pois esse recurso é incorporado ao sistema operacional.

As últimas instalações que eu fiz tiveram o recurso de função Microsoft Identity Management for Unix adicionado a um servidor Windows 2008 R2 e o NSLCD no lado Linux (para RHEL5). Isso funcionou até o RHEL6, onde a falta de manutenção no NSLCD e nos problemas de gerenciamento de recursos de memória forçou uma alteração no SSSD. A Red Hat também parecia apoiar a abordagem SSSD, então isso tem sido bom para o meu uso.

Estou trabalhando com uma nova instalação em que os controladores de domínio são sistemas Windows 2008 R2 Core e não têm a capacidade de adicionar o recurso de função Identity Management for Unix. E me disseram que esse recurso foi descontinuado e não está mais presente no Windows Server 2012 R2 .

O benefício de ter essa função instalada é a presença dessa GUI, enquanto permite uma administração fácil em uma etapa dos atributos do usuário.

Mas...

A opção Servidor para ferramentas de serviço de informações em rede (NIS) das Ferramentas de administração remota de servidor (RSAT) foi preterida. Use LDAP nativo, Samba Client, Kerberos ou opções que não sejam da Microsoft.

Isso torna muito difícil confiar, se houver uma quebra na compatibilidade com a frente. O cliente quer usar o Winbind, mas tudo o que vejo do lado da Red Hat aponta para o uso do SSSD.

Qual é a abordagem correta?
Como você lida com isso no seu ambiente?

ewwhite
fonte
11
Pelo que entendi, o RHEL 7 terá exatamente duas maneiras de fazer isso: uma através do FreeIPA com uma confiança de domínio cruzado para o AD e a outra através do AD via realmd e seja lá o que for um front end (não tenho tempo para olhe agora). De qualquer forma, você terá uma maneira suportada de ingressar no sistema no domínio diretamente no kickstart.
Michael Hampton
11
Usamos o Centrify para as caixas Solaris e RHEL. É bem simples de instalar, e honestamente não tivemos nenhum problema / reclamação usando-o.
Colealtdelete
2
Este guia foi publicado apenas no mês passado. Como tal, deve conter informações relevantes / atuais.
Aaron Copley
11
@AaronCopley Você pode postar isso como resposta. Eu não tinha visto este guia antes.
precisa saber é o seguinte

Respostas:

19

Em março de 2014, a Red Hat publicou uma arquitetura de referência para integrar o Red Hat Enterprise Server ao Active Directory . (Este material certamente deve ser atual e relevante.) Detesto postar isso como resposta, mas é realmente material demais para ser transferido para o campo de resposta.

Este documento (corrigido) está quente, a imprensa parece se concentrar nos novos recursos do Red Hat Enterprise Linux (RHEL) 7. Ele foi publicado para o Summit na semana passada.

Se este link ficar obsoleto, entre em contato e atualizarei a resposta.

Eu pessoalmente usei o WinBind de maneira bastante confiável para autenticação. Há uma falha de serviço muito frequente que requer que alguém com uma conta root ou outra conta local entre e recupere o winbindd. Provavelmente, isso pode ser resolvido por meio de um monitoramento adequado, se você se esforçar.

Vale ressaltar que o Centrify possui funcionalidade adicional, embora isso possa ser fornecido por um gerenciamento de configuração separado. (Fantoche, etc.)

Editar 16/06/14:

Guia de Integração do Red Hat Enterprise Linux 7 Windows

Aaron Copley
fonte
O link "Este documento" parece ser inválido.
Yolo Perdiem
Você tem certeza? Acabei de limpar meu histórico / cache e tentei novamente. Então eu até confirmei em outro navegador. Alguém mais está tendo problemas? O arquivo está vinculado nesta página , em Estrada para o RHEL 7, atualização de interoperabilidade: Red Hat Enterprise Linux 7 beta e Microsoft Windows EDIT: Vejo que há uma versão "final" publicada agora, mas o link antigo ainda funciona para mim? Atualizando a resposta de qualquer maneira.
Aaron Copley
Eu não tive nenhum problema. Eu li o documento e até comparei com o que estava fazendo. Algumas inconsistências. O maior problema: Há NO menção do Windows Server 2012 :( Então, eu ainda estou vendo uma opinião sobre isso.
ewwhite
Desculpe, não sei o suficiente sobre o lado do Windows para saber quais são as implicações para 2012 vs. 2008. :( (Além do que você disse sobre a função Identity Management for Unix - o que não parece necessário) .)
Aaron Copley
@AaronCopley A função fornece uma GUI administrativa para habilitar os atributos do Unix por usuário.
precisa saber é o seguinte
10

re: "As soluções comerciais como Centrify e Likewise sempre funcionaram, mas pareciam desnecessárias, pois esse recurso é incorporado ao sistema operacional".

Bem, acho que muitos de nós ouvimos há anos que o sistema operacional XYZ finalmente resolve o quebra-cabeça da integração do AD. IMHO, o problema é que, para o fornecedor do SO, a integração do AD é um recurso da caixa de seleção, ou seja, eles precisam fornecer algo que meio que funciona para obter essa caixa de seleção, e essa caixa de seleção normalmente só funciona em ...

  1. sua plataforma OS e
  2. a versão atual dessa plataforma e
  3. contra uma versão mais recente do Active Directory.

A realidade é que a maioria dos ambientes não é monolítica em termos de fornecedor e versão do SO e terá versões mais antigas do AD. É por isso que um fornecedor como o Centrify precisa oferecer suporte a mais de 450 tipos de UNIX / Linux / Mac / etc. no Windows 2000 para o Windows 2012 R2, não apenas no RHEL 7 novamente no Windows 2012 R2.

Além disso, você precisa levar em consideração como o seu AD é implantado, a integração de AD do fornecedor do SO suporta RODCs (Read Only Domain Controllers), relações de confiança unidirecionais, fornece suporte para várias florestas, etc. E se você tiver espaço UID existente (o que você deseja), existem ferramentas de migração para migrar os UIDs para o AD. E o suporte ao AD do fornecedor do SO aborda a capacidade de mapear vários UIDs para um único AD em situações em que seu espaço no UID não é plano. E o que dizer ... bem, você entendeu a idéia.

Depois, há a questão do apoio ...

A questão é que a integração com o AD pode parecer fácil conceitualmente e pode ser "gratuita" com o SO mais recente de um fornecedor, e provavelmente pode funcionar se você tiver apenas uma versão de um SO de um fornecedor e tiver um AD baunilha que seja a versão mais recente. um contrato de suporte premium com o fornecedor do SO, que fará o possível para corrigir os problemas que surgirem. Caso contrário, você pode considerar uma solução especializada de terceiros.

Jake Summers
fonte
+1 para isso; minha experiência geral é "eles dizem que funciona, mas nunca é limpo".
Maximus Minimus
+ Infinito para isso. O Centrify ainda tem a versão Express gratuita, se tudo o que você precisa é de suporte básico à autenticação.
Ryan Bolger
8

A opção Servidor para ferramentas de serviço de informações em rede (NIS) das Ferramentas de administração remota de servidor (RSAT) foi preterida.

Isso não me surpreende - o NIS é uma evidência de que a Sun nos odiava e queria que sejamos infelizes.

Use LDAP nativo, Samba Client, Kerberos ou opções que não sejam da Microsoft.

Este é um bom conselho. Dadas as opções que eu diria "Usar LDAP nativo (por SSL, por favor)" - há muitas opções disponíveis para isso, as duas que eu mais conheço são pam_ldap + nss_ldap (da PADL) ou o nss-pam- ldapd (que se originou como uma bifurcação e tem visto desenvolvimentos e aprimoramentos contínuos).


Como você está perguntando sobre o RedHat especificamente, vale a pena notar que o RedHat fornece outras alternativas usando o SSSD.
Se o seu ambiente é totalmente RedHat (ou apenas possui um grande número de sistemas RedHat), olhando para o "RedHat Way of Fazer Things", com suporte oficial, certamente valeria a pena.

Como eu não tenho nenhuma experiência com o RedHat / SSSD, estou apenas analisando os documentos, mas parece ser bastante robusto e bem projetado.

voretaq7
fonte
6

Dos métodos sugeridos, deixe-me fornecer uma lista de prós / contras:

Kerberos direto / LDAP

Prós: funciona muito bem quando configurado corretamente. Raramente quebras, resilientes, sobreviverão a falhas na rede. Nenhuma alteração é necessária no AD, nenhuma alteração de esquema, nenhum acesso de administrador necessário para o AD. Livre.

Contras: relativamente difícil de configurar. Vários arquivos precisam ser alterados. Não funcionará se o servidor de autenticação (Kerberos / LDAP) não estiver disponível.

Winbind

Prós: Fácil de configurar. Funcionalidade básica do sudo. Livre.

Contras: Suporte intensivo. Não resiliente à rede. Se houver um problema de rede, as máquinas Linux poderão ser excluídas do AD, exigindo o registro novamente do servidor, uma tarefa de suporte. É necessário acesso à conta do administrador do AD. Pode ser necessário fazer alterações de esquema no AD.

Centrify / Da mesma forma etc.

Prós: relativamente fácil de configurar.

Contras: Altera a funcionalidade do sudo para proprietária, mais difícil de suportar. Custo de licença por servidor. Precisa de habilidades adicionais para gerenciar.

SSSD

Prós: Um arquivo de configuração, fácil de configurar. Funciona com todos os métodos de autenticação presentes e futuros. Escalável, cresce com o sistema. Funcionará no modo desconectado. Rede resiliente. Não é necessário fazer nenhuma alteração no esquema do AD. Não há necessidade de credenciais de administrador do AD. Grátis, suportado.

Contras: Não possui serviços de vitória, como atualizações automáticas do DNS. Precisa configurar compartilhamentos CIFS.

Sumário

Olhando para as vantagens e desvantagens, o SSSD é o vencedor. Se for um sistema novo, não há razão para usar outra coisa senão o SSSD. É um integrador que trabalha com todos os métodos de autenticação atuais e pode crescer com o sistema porque novos métodos podem ser adicionados quando disponíveis. Ele usa métodos nativos de linux e é muito mais confiável e rápido. Se o armazenamento em cache estiver ativado, os sistemas funcionarão mesmo em sistemas completamente desconectados com falha total na rede.

O Winbind pode ser usado para sistemas existentes se houver muito trabalho envolvido para alterar.

O Centrify teve problemas com a integração, o que poderia custar caro. A maioria dos erros foi corrigida na nova versão, mas ainda existem alguns que causam dores de cabeça.

Eu trabalhei com todos esses métodos e o SSSD é o vencedor claro. Mesmo para sistemas mais antigos, o ROI da conversão de Winbind para SSSD é muito alto. A menos que haja um motivo específico para não usar o SSSD, sempre use o SSSD.

R Unnikrishnan
fonte
O SSSD suporta atualizações de DNS dinâmico: access.redhat.com/documentation/en-us/red_hat_enterprise_linux/…
Jonathon Reinhart
5

Tem que comentar sobre isso:

Vale ressaltar que o Centrify possui funcionalidade adicional, embora isso possa ser fornecido por um gerenciamento de configuração separado. (Fantoche, etc.)

Como alguém que trabalha com o Centrify, não sabe de onde vem esse comentário. Veja isso e você pode ver que há um monte de recursos que você não obtém com a ferramenta config mgmt ala Puppet. Por exemplo, suporte para mapeamento de vários UIDs para uma única conta do AD (zonas), suporte para relações de confiança completas do domínio do Active Directory (que a solução Red Hat documenta na página 3 que não oferece suporte), etc.

Mas voltando a este guia da Red Hat. É ótimo que a Red Hat esteja publicando isso, as opções são boas. Observe que ele oferece ao cliente 10 opções para fazer a integração básica do AD. A maioria das opções são variações do Winbind e, na página 15, lista as vantagens e desvantagens de cada uma, e há várias etapas manuais necessárias para cada uma (com as correspondentes desvantagens / falta de funcionalidade, conforme descrito acima). A vantagem do Centrify Express é que, de acordo com os outros comentadores acima, é:

  1. é simples de instalar sem todas as etapas manuais e ...
  2. é gratuito e ...
  3. não se limita ao Red Hat V7, que é importante, pois a questão tinha a ver com o Linux, não apenas uma variante - o Centrify suporta mais de 300 tipos de * nix e ...
  4. suporta todas as variantes do Windows AD, não apenas o Windows 2008. Eles publicaram uma comparação do Centrify vs. Winbind aqui , mas não é de código aberto.

No final, tudo se resume a fazer você mesmo a rolagem ou optar por uma solução comercial. Realmente importa onde você e como gasta seu tempo.

user217770
fonte