Thay thế cho NIS / YP

Công ty mà tôi đang làm việc đang bắt tay vào việc thay thế cấu trúc NIS / YP được phát triển tại địa phương bằng LDAP.

Chúng tôi đã có AD nội bộ cho các công cụ Windows và muốn xem xét sử dụng hệ thống AD. Người AD khá hạn chế và sẽ không hỗ trợ sửa đổi rộng rãi.

Chúng tôi cần phải có sự thay thế bao gồm hỗ trợ toàn bộ khả năng của bộ NIS / YP bao gồm các nhóm net, hạn chế đăng nhập vào các máy chủ cụ thể cho người dùng hoặc nhóm người dùng cụ thể, mật khẩu nhất quán giữa môi trường * nix và Windows, v.v. Môi trường của chúng tôi là hỗn hợp của Linux (suse, RH, Debian), Sun, IBM, HP và MPRAS cũng như NETAPP. Vì vậy, bất cứ điều gì chúng ta sử dụng phải hoàn toàn bao gồm tất cả các môi trường.

Chúng tôi đã xem xét Tương tự, nhưng quản lý của chúng tôi muốn so sánh với các lựa chọn khác.

Những điều khác tôi nên xem xét và bạn đánh giá về sự thay thế là gì?

Cảm ơn

Microsoft từng có một thứ gọi là Dịch vụ cho Unix (Vẫn còn nhưng có một tên khác: Bây giờ là "Hệ thống con cho các ứng dụng dựa trên UNIX (SUA)") - Trong số các tính năng mà nó bao gồm có cổng AD-to-NIS cho phép bạn tạo một miền NIS được chuyển một cách hiệu quả sang miền AD của bạn.
Đây có lẽ là con đường ít kháng cự nhất đối với bạn vì môi trường unix của bạn không đồng nhất - Bất cứ điều gì hiểu về NIS đều sẽ hiểu máy chủ MS NIS, bởi vì theo như các hệ thống unix của bạn thì nó vẫn chỉ là một máy chủ NIS cũ.

Một tùy chọn khác là pam_ldapd (hoặc pam_ldap + nss_ldap) - Điều này sẽ truy vấn trực tiếp vào các máy chủ AD của bạn và thoát khỏi một số hạn chế của NIS, nhưng tôi không biết hỗ trợ netgroup tốt như thế nào (tôi biết pam_ldap + nss_ldap không có hỗ trợ nhóm hoạt động trên FreeBSD).

bạn có thể thử freeipa ( http://freeipa.org ) từ những người da đỏ . Nó có nghĩa là để thay thế nis / yp và nó cung cấp cho bạn một môi trường kerberized như một phần thưởng. Tất nhiên, bạn chỉ có thể cắm ứng dụng khách chỉ bằng pam_ldap, nhưng bạn mất sau đó đăng nhập một lần.

Nhân tiện, bạn cũng có thể đồng bộ hóa người dùng với AD.

Vì bạn đã có AD trong nhà, tôi khuyên bạn nên xem xét freeipa / Redhat IDM được thiết lập như một miền đáng tin cậy của thư mục hoạt động. Bên cạnh việc miễn phí, điều này cho phép bạn sử dụng tất cả thông tin nhóm & người dùng hiện có trong AD, đồng thời thiết lập các điều khiển và chính sách truy cập trong ipa.

Bạn cũng có được tiềm năng kerberos & sso. Ipa trong thiết lập này trình bày các nhóm quảng cáo dưới dạng các nhóm net (như nis).

Nó đi kèm với một gui web đẹp và kiểm soát truy cập dựa trên vai trò nội bộ (ví dụ: ai có thể tham gia máy chủ đến vương quốc kerberos, người có thể quản lý sudo, v.v.).

Bất kỳ khách hàng nào cũng có thể xác thực đối với ipa hoặc AD.

QAS (một trong hai phiên bản) là một giải pháp lý tưởng theo quan điểm của tôi ngoại trừ chi phí, có thể là điên rồ. Nó cũng yêu cầu thay đổi lược đồ thành AD, bản thân nó cũng ổn nhưng những người AD của bạn có thể không thích điều đó.

Các phiên bản mới hơn của winbind ổn định hơn 3.x, nhưng yêu cầu bạn phải cấu hình các chính sách truy cập (sudo, ssh) trên mỗi máy chủ.

Tôi không thể nói để ly tâm.

Tôi đã từng ở trong những môi trường sử dụng VAS (bây giờ được đặt tên khác, từ Quest) và Centrify. Tôi đã không duy trì một trong hai hệ thống, tôi chỉ là một người dùng. Vì vậy, tôi không thể giúp bạn quyết định, nhưng đó là một số tên khác.

Từ những gì tôi thấy, cả hai đều hoạt động và cả hai đều đáp ứng các yêu cầu được liệt kê của bạn, mặc dù luôn có một số trục trặc.

Winbind hoạt động tốt đặc biệt là với tùy chọn RID. Sử dụng các máy chủ AD làm bộ đệm NTP cho các hộp unix, nó làm cho mọi thứ dễ dàng hơn một chút và nó hoạt động tốt. Để kerberos làm việc với AD tiếp theo, rất đơn giản, chỉ cần đảm bảo ntp đang hoạt động và khách hàng đang sử dụng quảng cáo cho dns. Tùy chọn RID trong winbind sẽ tạo ra một uid dự đoán cho người dùng và gid cho các nhóm của bạn. Cấu hình samba / winbind sẽ cho phép bạn chọn một vỏ mà tất cả người dùng sẽ nhận được, tôi không chắc bạn có thể cấu hình để người dùng cá nhân có các vỏ khác nhau hay không, người dùng luôn có thể khởi động bất kỳ vỏ nào họ muốn khi họ đăng nhập. Các hạn chế đăng nhập có thể được duy trì thông qua sshd_config, hạn chế dựa trên các nhóm. Bạn sẽ phải bắt đầu với các máy cũ hơn và Netapp để xem phiên bản samba / winbind bạn cài đặt có hỗ trợ tùy chọn RID phụ trợ không.