En una gran red solo de Linux, ¿cómo manejaría la autenticación y la gestión de usuarios?

Después de trabajar con Linux durante años en redes pequeñas, comencé en una empresa que mantiene redes de ventanas grandes. Sé que puedes improvisar un host de Linux en una red de Active Directory, pero ¿hay una forma ordenada de Linux para manejarlo si no tienes que lidiar con los hosts de Windows? Puramente hipotético.

El equivalente más cercano a Active Directory para Linux es FreeIPA. FreeIPA está hecho por Redhat y proporciona autenticación basada en LDAP y Kerberos a una red Linux ...

FreeIPA es una solución integrada de gestión de información de seguridad que combina Linux (Fedora), 389 Directory Server, MIT Kerberos, NTP, DNS, Dogtag (Sistema de Certificado). Consiste en una interfaz web y herramientas de administración de línea de comandos.

Tenga en cuenta que FreeIPA es en gran parte solo Redhat, y tomaría un buen trabajo poner en funcionamiento Debian / Ubuntu / lo que sea ...

http://freeipa.org/page/Main_Page

LDAP es un protocolo de aplicación para acceder y mantener servicios de información de directorio distribuidos a través de una red de Protocolo de Internet (IP).

Los servicios de directorio pueden proporcionar cualquier conjunto organizado de registros, a menudo con una estructura jerárquica, como un directorio de correo electrónico corporativo. Del mismo modo, un directorio telefónico es una lista de suscriptores con una dirección y un número de teléfono.

He visto grandes redes de más de mil servidores Linux sin autenticación o administración centralizada de usuarios. Cada servidor solo tenía cuentas locales que tenían que mantenerse individualmente.

Eso me da escalofríos. Algo como Puppet probablemente pueda ayudar en ese departamento de sincronización de cuentas en todos los sistemas, pero no lo ayudará a unir los hosts a un dominio AD.

No creo que su pregunta sea sobre un equivalente de Active Directory para Linux, como FreeIPA. Creo que su pregunta es sobre la integración de hosts Linux en un Microsoft Active Directory existente de modo que sus máquinas Windows y Linux estén todas mezcladas allí en el mismo directorio.

Ya sabes, como dijiste, que los hosts de Linux pueden ser "empedrados allí". Estoy de acuerdo con esa metáfora, ya que es un proceso desordenado en mi opinión.

Entonces, también existen soluciones profesionales como PowerBroker (anteriormente Likewise) que se puede instalar en sus hosts Linux y hace que unirse a un dominio AD sea mucho más confiable. Incluso incorpora algunas capacidades de política de grupo.

Creo que es probable que veas algo así en una gran empresa que quiera unir sus máquinas Linux a un dominio de Windows.

Recomendaría OpenLDAP + Kerberos ( MIT o Heimdal ). Implica poner sus manos un poco más sucias de lo que usaría un producto como FreeIPA, pero en términos de rendimiento, no puede vencer a OpenLDAP.

Este enlace es muy antiguo, pero destaca algunas de las diferencias de rendimiento entre OpenLDAP y el servidor de directorios 389 (incluido en FreeIPA):

Algunos números: Fedora Directory Server vs OpenLDAP

Por supuesto, estoy seguro de que ambos productos han mejorado desde entonces. Sé que los números de OpenLDAP son mucho mejores, especialmente con el nuevo backend mapeado en memoria mdb .

Si no estuviera en un entorno particularmente consciente de la seguridad, usaría NIS . Es liviano, funciona en muchos Unices, se adapta bien a las fallas del servidor (es decir, siempre que cada cliente esté configurado para usar múltiples servidores NIS o pueda encontrar varios servidores por difusión, es robusto contra la falla del servidor actualmente vinculado), y se ha utilizado durante años (como en Recuerdo haber configurado servidores NIS en 1991) por lo que sus idiosincrasias se entienden bastante bien.