La compañía para la que estoy trabajando se está embarcando en reemplazar la estructura actual NIS / YP desarrollada localmente con LDAP.
Ya tenemos AD en casa para las cosas de Windows y nos gustaría considerar usar un sistema AD. La gente de AD es bastante restrictiva y no admitiría modificaciones extensas.
Necesitamos que el reemplazo incluya el soporte, las capacidades completas de la suite NIS / YP incluyen grupos de red, restricciones de inicio de sesión a servidores específicos para usuarios específicos o grupos de usuarios, contraseñas consistentes entre el entorno * nix y Windows, etc. Nuestro entorno es una mezcla de Linux (suse, RH, Debian), Sun, IBM, HP y MPRAS, así como un NETAPP. Por lo tanto, cualquier cosa que usemos debe ser totalmente inclusiva para todo el entorno.
Hemos analizado Likewise, pero nuestra gerencia quiere otras alternativas para comparar.
¿Qué otras cosas debería mirar y cuál es su evaluación de la alternativa?
Gracias
puedes probar freeipa ( http://freeipa.org ) de la gente de redhat. Está destinado a reemplazar nis / yp y le brinda un entorno kerberizado como un bono. Por supuesto, puede conectar clientes con solo pam_ldap, pero pierde el inicio de sesión único.
Por cierto, también puede sincronizar usuarios con AD.
fuente
Dado que ya tiene AD en casa, le recomiendo considerar freeipa / Redhat IDM configurado como un dominio confiable de directorio activo. Además de ser gratuito, esto le permite utilizar toda la información existente de usuarios y grupos en AD, mientras configura los controles y políticas de acceso en ipa.
También obtienes kerberos y sso potencial. Ipa en esta configuración presenta grupos de anuncios como grupos de red (como nis).
Viene con una buena interfaz gráfica de usuario web y un control de acceso interno basado en roles (por ejemplo, quién puede unir hosts al reino kerberos, quién puede administrar sudo, etc.).
Cualquier cliente debe poder autenticarse contra ipa o AD.
QAS (cualquier versión) es una solución ideal en mi opinión, excepto por el costo, que puede ser una locura. También requiere un cambio de esquema a AD, que en sí está bien, pero a los chicos de AD no les gustará eso.
Las versiones más recientes de winbind son mucho más estables que 3.x, pero requieren que tenga políticas de acceso (sudo, ssh) configuradas en cada host.
No puedo hablar por centrify.
fuente
He estado en entornos que usaban VAS (ahora llamado otra cosa, de Quest) y Centrify. No mantuve ninguno de los dos sistemas, solo era un usuario. Por lo tanto, no puedo ayudarte a decidir, pero esos son algunos otros nombres.
Por lo que vi, ambos funcionaron y ambos cumplieron con los requisitos enumerados, aunque siempre hubo algunos inconvenientes.
fuente
Winbind funciona bien, especialmente con la opción RID. Utilice los servidores AD como los equipos NTP para las cajas de Unix, hace las cosas un poco más fáciles y funciona bien. A continuación, haga que Kerberos funcione con AD, es muy simple, solo asegúrese de que ntp funcione y que los clientes usen anuncios para dns. La opción RID en winbind producirá un uid predecible para los usuarios y un gid para sus grupos. La configuración samba / winbind le permitirá elegir un shell que obtendrán todos los usuarios, no estoy seguro de si puede configurar para que los usuarios individuales tengan diferentes shells, el usuario siempre puede iniciar el shell que desee cuando inicie sesión. Las restricciones de inicio de sesión se pueden mantener a través de sshd_config, restringiendo según los grupos. Tendrá que comenzar con las máquinas más antiguas y Netapp para ver si la versión de samba / winbind que instala admite la opción RID de back-end.
fuente