En una gran red solo de Linux, ¿cómo manejaría la autenticación y la gestión de usuarios?

12

Después de trabajar con Linux durante años en redes pequeñas, comencé en una empresa que mantiene redes de ventanas grandes. Sé que puedes improvisar un host de Linux en una red de Active Directory, pero ¿hay una forma ordenada de Linux para manejarlo si no tienes que lidiar con los hosts de Windows? Puramente hipotético.

Keith Loughnane
fuente

Respuestas:

14

El equivalente más cercano a Active Directory para Linux es FreeIPA. FreeIPA está hecho por Redhat y proporciona autenticación basada en LDAP y Kerberos a una red Linux ...

FreeIPA es una solución integrada de gestión de información de seguridad que combina Linux (Fedora), 389 Directory Server, MIT Kerberos, NTP, DNS, Dogtag (Sistema de Certificado). Consiste en una interfaz web y herramientas de administración de línea de comandos.

Tenga en cuenta que FreeIPA es en gran parte solo Redhat, y tomaría un buen trabajo poner en funcionamiento Debian / Ubuntu / lo que sea ...

http://freeipa.org/page/Main_Page

Soviero
fuente
¿Creo que estás diciendo que el servidor Ubuntu FreeIPA sería un trabajo duro? Configurar un cliente Ubuntu no debería ser tan difícil.
No ahora
No me gusta el hecho de que esta es una solución única de Redhat (confiando en el póster sobre este tema, 0 experiencia con él), pero esto es definitivamente lo más parecido a una respuesta a la pregunta de los padres.
ItsGC
@ItsGC Es Redhat solo en el lado del servidor IPA / Ldap.
No ahora
@NotNow En un cliente, es más fácil con Redhat porque hay un comando que configura todo, desde LDAP a NTP en un solo paso ... Ese comando no existe en Ubuntu (AFAIK), por lo que tendría que hacer todo usted mismo desde cero ...
Soviero
Para cualquier persona interesada, hay este paquete en Ubuntu 12.04 LTS: packages.ubuntu.com/precise/freeipa-client
Soviero
4

LDAP es un protocolo de aplicación para acceder y mantener servicios de información de directorio distribuidos a través de una red de Protocolo de Internet (IP).

Los servicios de directorio pueden proporcionar cualquier conjunto organizado de registros, a menudo con una estructura jerárquica, como un directorio de correo electrónico corporativo. Del mismo modo, un directorio telefónico es una lista de suscriptores con una dirección y un número de teléfono.

Daemon of Chaos
fuente
LDAP también es una parte integral de Active Directory.
Sven
1
Chicos, no creo que haya preguntado qué era LDAP ...
Ryan Ries
2
LDAP es la respuesta a la pregunta. Simplemente proporcioné información adicional sobre LDAP para ilustrarlo más.
Daemon of Chaos
No era la respuesta, estaba buscando una respuesta más práctica, qué hardware y software usarías.
Keith Loughnane
Eso debería haberse especificado en su pregunta entonces.
Daemon of Chaos
0

He visto grandes redes de más de mil servidores Linux sin autenticación o administración centralizada de usuarios. Cada servidor solo tenía cuentas locales que tenían que mantenerse individualmente.

Eso me da escalofríos. Algo como Puppet probablemente pueda ayudar en ese departamento de sincronización de cuentas en todos los sistemas, pero no lo ayudará a unir los hosts a un dominio AD.

No creo que su pregunta sea sobre un equivalente de Active Directory para Linux, como FreeIPA. Creo que su pregunta es sobre la integración de hosts Linux en un Microsoft Active Directory existente de modo que sus máquinas Windows y Linux estén todas mezcladas allí en el mismo directorio.

Ya sabes, como dijiste, que los hosts de Linux pueden ser "empedrados allí". Estoy de acuerdo con esa metáfora, ya que es un proceso desordenado en mi opinión.

Entonces, también existen soluciones profesionales como PowerBroker (anteriormente Likewise) que se puede instalar en sus hosts Linux y hace que unirse a un dominio AD sea mucho más confiable. Incluso incorpora algunas capacidades de política de grupo.

Creo que es probable que veas algo así en una gran empresa que quiera unir sus máquinas Linux a un dominio de Windows.

Ryan Ries
fuente
1
Título: En una gran red solo de Linux, ¿cómo manejaría la autenticación y la gestión de usuarios? En la pregunta: puramente hipotética. Describió una situación real que provocó su asombro de una situación hipotética. Él realmente quiso decir "¿cómo administro muchos hosts Unix de la misma manera que administraría muchos hosts Windows con AD"?
ItsGC
2
¡Me llevo la pelota y me voy a casa! : `(
Ryan Ries
2
/abrazo. Aquí hay una galleta.
ItsGC
"si no tuvieras que lidiar con los hosts de Windows" Gracias de todos modos Ryan. Realmente me preguntaba si había una mejor forma nativa de Linux de administrar al menos las cuentas y la seguridad.
Keith Loughnane
Ahi esta; vea mi respuesta y las sugerencias sobre LDAP.
MadHatter
0

Recomendaría OpenLDAP + Kerberos ( MIT o Heimdal ). Implica poner sus manos un poco más sucias de lo que usaría un producto como FreeIPA, pero en términos de rendimiento, no puede vencer a OpenLDAP.

Este enlace es muy antiguo, pero destaca algunas de las diferencias de rendimiento entre OpenLDAP y el servidor de directorios 389 (incluido en FreeIPA):

Algunos números: Fedora Directory Server vs OpenLDAP

Por supuesto, estoy seguro de que ambos productos han mejorado desde entonces. Sé que los números de OpenLDAP son mucho mejores, especialmente con el nuevo backend mapeado en memoria mdb .

bmaupin
fuente
¿Un artículo tan antiguo que tuvo que usar la máquina Wayback? Artículo bien escrito, pero los números en este punto tendrían que considerarse anecdóticos.
Aaron Copley
0

Si no estuviera en un entorno particularmente consciente de la seguridad, usaría NIS . Es liviano, funciona en muchos Unices, se adapta bien a las fallas del servidor (es decir, siempre que cada cliente esté configurado para usar múltiples servidores NIS o pueda encontrar varios servidores por difusión, es robusto contra la falla del servidor actualmente vinculado), y se ha utilizado durante años (como en Recuerdo haber configurado servidores NIS en 1991) por lo que sus idiosincrasias se entienden bastante bien.

MadHatter
fuente