Sau khi làm việc với linux nhiều năm trong các mạng nhỏ, tôi đã thành lập một công ty duy trì các mạng windows lớn. Tôi biết bạn có thể kết nối máy chủ linux vào mạng Active Directory nhưng có cách xử lý linux-y gọn gàng nếu bạn không phải đối phó với máy chủ Windows. Hoàn toàn là giả thuyết.
Câu trả lời:
Tương đương gần nhất với Active Directory cho Linux là FreeIPA. FreeIPA được tạo bởi Redhat và cung cấp cả xác thực dựa trên LDAP và Kerberos cho mạng Linux ...
FreeIPA là một giải pháp quản lý thông tin bảo mật tích hợp kết hợp Linux (Fedora), Máy chủ thư mục 389, MIT Kerberos, NTP, DNS, Dogtag (Hệ thống chứng chỉ). Nó bao gồm một giao diện web và các công cụ quản trị dòng lệnh.
Hãy nhớ rằng, FreeIPA phần lớn chỉ là Redhat và sẽ mất một chút công sức để khởi động và chạy trên Debian / Ubuntu / bất cứ điều gì ...
LDAP là một giao thức ứng dụng để truy cập và duy trì các dịch vụ thông tin thư mục phân tán qua mạng Giao thức Internet (IP).
Dịch vụ thư mục có thể cung cấp bất kỳ bộ hồ sơ có tổ chức nào, thường có cấu trúc phân cấp, chẳng hạn như thư mục email của công ty. Tương tự, một danh bạ điện thoại là một danh sách các thuê bao có địa chỉ và số điện thoại.
Tôi đã thấy các mạng lớn của hơn một nghìn máy chủ Linux không có quản lý hoặc xác thực người dùng tập trung. Mỗi máy chủ chỉ có các tài khoản cục bộ mà tất cả phải được duy trì riêng lẻ.
Điều đó làm tôi co rúm lại. Một cái gì đó như Puppet có thể có thể giúp bộ phận đồng bộ hóa tài khoản trên các hệ thống, nhưng nó sẽ không giúp bạn tham gia các máy chủ vào miền AD.
Tôi không tin câu hỏi của bạn là về một Active Directory tương đương với Linux, chẳng hạn như FreeIPA. Tôi nghĩ rằng câu hỏi của bạn là về việc tích hợp các máy chủ Linux vào một Microsoft Active Directory hiện có sao cho các máy Windows và máy Linux của bạn đều được đặt ở đó trong cùng một thư mục.
Bạn đã biết, như bạn đã nói, các máy chủ Linux có thể được "đặt ở đó". Tôi đồng ý với phép ẩn dụ đó, vì theo tôi đó là một quá trình lộn xộn.
Sau đó, cũng tồn tại các giải pháp chuyên nghiệp như PowerBroker (trước đây là Tương tự) có khả năng cài đặt trên máy chủ Linux của bạn và khiến việc tham gia chúng vào miền AD đáng tin cậy hơn nhiều. Nó thậm chí còn kết hợp một số khả năng chính sách nhóm.
Tôi nghĩ rằng bạn có thể thấy một cái gì đó tương tự trong một doanh nghiệp lớn muốn tham gia các máy Linux của mình vào một miền Windows.
Tôi muốn giới thiệu OpenLDAP + Kerberos ( MIT hoặc Heimdal ). Nó liên quan đến việc khiến tay bạn bẩn hơn một chút so với việc bạn sử dụng một sản phẩm như FreeIPA, nhưng khôn ngoan về hiệu suất, bạn không thể đánh bại OpenLDAP.
Liên kết này thực sự cũ, nhưng nó làm nổi bật một số khác biệt về hiệu năng giữa máy chủ Thư mục OpenLDAP và 389 (có trong FreeIPA):
Một số số: Máy chủ thư mục Fedora vs OpenLDAP
Tất nhiên, tôi chắc chắn rằng cả hai sản phẩm đã được cải thiện kể từ đó. Tôi biết số của OpenLDAP tốt hơn rất nhiều, đặc biệt là với phần phụ trợ được ánh xạ bộ nhớ mdb mới .
Nếu tôi không ở trong một môi trường đặc biệt có ý thức bảo mật, tôi sẽ sử dụng NIS . Nó nhẹ, hoạt động trên nhiều Unice, xử lý tốt lỗi máy chủ (nghĩa là, mỗi máy khách được cấu hình để sử dụng nhiều máy chủ NIS hoặc có thể tìm thấy nhiều máy chủ bằng cách phát sóng, nó mạnh mẽ chống lại sự thất bại của máy chủ bị ràng buộc hiện tại) và đã được sử dụng trong nhiều năm (như trong, tôi nhớ việc cấu hình các máy chủ NIS vào năm 1991) vì vậy các đặc điểm riêng của nó được hiểu khá rõ.