Administración de usuarios simple y centralizada en una LAN pequeña: ¿NIS o LDAP?

12

Estoy configurando una LAN pequeña para mi equipo. A todos los efectos, no estará conectado a ninguna red externa. Me gustaría que tuviera un control centralizado de las cuentas de usuario (al menos, creo que me gustaría eso; también estoy considerando usar una marioneta, por lo que teóricamente podría empujar / etc / passwd cambios, o algo así). El número de máquinas es fijo, pero no muy pequeño. En su mayoría, están "vinculados" a un solo usuario, pero a veces las personas trabajan de forma remota en la caja de otra persona; y hay un par de servidores

He leído esta pregunta , pero mi escenario es mucho más simple (incluso más simple que en esta pregunta ) y me gustaría hacer algo (relativamente) rápido, sin mucha molestia, pero no un truco sucio totalmente inseguro. ¿Es NIS relevante para mi escenario? Si no, ¿cuál es la forma más fácil de configurar LDAP (o LDAP + Kerberos) para lograr lo mismo?

Notas:

  • No tengo experiencia con la configuración de NIS o LDAP.
  • Utilizamos distribuciones de Linux con sabor a Debian, principalmente Kubuntu 12.04 (no es mi elección, pero así son las cosas).
einpoklum
fuente

Respuestas:

19

No creo que nadie use NIS más, o al menos, quiera hacerlo.

La forma más rápida y fácil de crear un buen entorno LDAP + Kerberos es FreeIPA . Es tan fácil y ligero que incluso lo uso en casa.

La Guía de gestión de identidad de Red Hat es una excelente introducción a FreeIPA y lo pondrá en funcionamiento rápidamente.

Tenga en cuenta que si bien Ubuntu tiene FreeIPA , la versión en 12.04 LTS es anterior y puede tener errores o características faltantes en comparación con las versiones más recientes.

Michael Hampton
fuente
Al mirar el sitio web, me preocupa que pueda estar vinculado a las distribuciones de RedHat'ish (RHEL, CentOS, Fedora). ¿Es esto cierto?
einpoklum
Está disponible para Debian y Ubuntu, pero ¿por qué alguien los usaría? :)
Michael Hampton
1
Se ve mejor compatible con RHEL / CentOS. Al configurar algo tan crítico como un servicio de administración de identidad, puede ser aconsejable usar la distribución mejor soportada, independientemente de lo que estén usando las máquinas cliente, en mi humilde opinión.
mpontillo
@ Mike: La distribución del servidor no es mi elección, y no puedo / no quiero usar un servidor dedicado (o servidor virtual) para esto.
einpoklum
1
Tal vez si fuera realmente un pequeño demonio. Realmente necesita dedicar una máquina (virtual) a esto; Si no puede o no quiere, entonces no debe usar FreeIPA.
Michael Hampton
3

IAR (Replicación de cuenta de Internet) es lo que está buscando. Es principalmente un script de shell, y es muy fácil de usar. Utiliza SSH para el transporte: no hay fecalidad de portmapper / RPC como NIS, y utiliza GPG para la verificación. Se ha utilizado en producción en Ubuntu y Redhat. No es LDAP, por lo que definitivamente no está destinado a todos los propósitos ... pero reemplaza a NIS para la mayoría de los usos, y es realmente fácil de configurar. Dicho esto, soy uno de los autores del truco rápido y elegante que es IAR, por lo que podría ser un poco parcial.

Los documentos, un repositorio .deb y el navegador de código fuente en línea están disponibles en iar.hcn-inc.com. Se pueden descargar RPM y un tarball desde sourceforge.net

Peter Fedorow
fuente
Respuesta interesante, pero no trabajo en el mismo lugar más, así que no puedo probarlo ahora mismo ...
einpoklum