Trong một mạng Linux lớn, bạn sẽ xử lý xác thực và quản lý người dùng như thế nào?


12

Sau khi làm việc với linux nhiều năm trong các mạng nhỏ, tôi đã thành lập một công ty duy trì các mạng windows lớn. Tôi biết bạn có thể kết nối máy chủ linux vào mạng Active Directory nhưng có cách xử lý linux-y gọn gàng nếu bạn không phải đối phó với máy chủ Windows. Hoàn toàn là giả thuyết.

Câu trả lời:


14

Tương đương gần nhất với Active Directory cho Linux là FreeIPA. FreeIPA được tạo bởi Redhat và cung cấp cả xác thực dựa trên LDAP và Kerberos cho mạng Linux ...

FreeIPA là một giải pháp quản lý thông tin bảo mật tích hợp kết hợp Linux (Fedora), Máy chủ thư mục 389, MIT Kerberos, NTP, DNS, Dogtag (Hệ thống chứng chỉ). Nó bao gồm một giao diện web và các công cụ quản trị dòng lệnh.

Hãy nhớ rằng, FreeIPA phần lớn chỉ là Redhat và sẽ mất một chút công sức để khởi động và chạy trên Debian / Ubuntu / bất cứ điều gì ...

http://freeipa.org/page/Main_Page


Tôi nghĩ rằng bạn đang nói máy chủ Ubuntu FreeIPA sẽ làm việc chăm chỉ? Thiết lập máy khách Ubuntu không quá khó khăn.
Không phải bây giờ

Tôi không thích thực tế đây là một giải pháp duy nhất của Redhat (tin tưởng người đăng về chủ đề này, 0 kinh nghiệm với nó), nhưng đây chắc chắn là điều gần nhất với câu trả lời cho câu hỏi của phụ huynh.
ItsGC

@ItsGC Đó là Redhat chỉ ở phía máy chủ IPA / Ldap.
Không phải bây giờ

@NotNow Trên máy khách, Redhat dễ dàng hơn vì có một lệnh cấu hình mọi thứ từ LDAP đến NTP trong một bước ... Lệnh đó không tồn tại trên Ubuntu (AFAIK) và do đó bạn sẽ phải tự làm mọi thứ từ đầu ...
Soviero

Đối với bất cứ ai quan tâm, có gói này trong Ubuntu 12.04 LTS: packages.ubuntu.com/precise/freeipa-client
Soviero

4

LDAP là một giao thức ứng dụng để truy cập và duy trì các dịch vụ thông tin thư mục phân tán qua mạng Giao thức Internet (IP).

Dịch vụ thư mục có thể cung cấp bất kỳ bộ hồ sơ có tổ chức nào, thường có cấu trúc phân cấp, chẳng hạn như thư mục email của công ty. Tương tự, một danh bạ điện thoại là một danh sách các thuê bao có địa chỉ và số điện thoại.


LDAP cũng là một phần không thể thiếu của Active Directory.
Sven

1
Các bạn, tôi không nghĩ anh ta hỏi LDAP là gì ...
Ryan Ries

2
LDAP là câu trả lời cho câu hỏi. Tôi chỉ cung cấp thêm thông tin về LDAP để minh họa thêm cho điều đó.
Daemon of Chaos

Đó không phải là câu trả lời, tôi đang tìm kiếm một câu trả lời thiết thực hơn, phần cứng và phần mềm nào bạn sẽ sử dụng.
Keith Loughnane

Điều đó nên được chỉ định trong câu hỏi của bạn sau đó.
Daemon of Chaos

0

Tôi đã thấy các mạng lớn của hơn một nghìn máy chủ Linux không có quản lý hoặc xác thực người dùng tập trung. Mỗi máy chủ chỉ có các tài khoản cục bộ mà tất cả phải được duy trì riêng lẻ.

Điều đó làm tôi co rúm lại. Một cái gì đó như Puppet có thể có thể giúp bộ phận đồng bộ hóa tài khoản trên các hệ thống, nhưng nó sẽ không giúp bạn tham gia các máy chủ vào miền AD.

Tôi không tin câu hỏi của bạn là về một Active Directory tương đương với Linux, chẳng hạn như FreeIPA. Tôi nghĩ rằng câu hỏi của bạn là về việc tích hợp các máy chủ Linux vào một Microsoft Active Directory hiện có sao cho các máy Windows và máy Linux của bạn đều được đặt ở đó trong cùng một thư mục.

Bạn đã biết, như bạn đã nói, các máy chủ Linux có thể được "đặt ở đó". Tôi đồng ý với phép ẩn dụ đó, vì theo tôi đó là một quá trình lộn xộn.

Sau đó, cũng tồn tại các giải pháp chuyên nghiệp như PowerBroker (trước đây là Tương tự) có khả năng cài đặt trên máy chủ Linux của bạn và khiến việc tham gia chúng vào miền AD đáng tin cậy hơn nhiều. Nó thậm chí còn kết hợp một số khả năng chính sách nhóm.

Tôi nghĩ rằng bạn có thể thấy một cái gì đó tương tự trong một doanh nghiệp lớn muốn tham gia các máy Linux của mình vào một miền Windows.


1
Tiêu đề: Trong một mạng Linux lớn, bạn sẽ xử lý Xác thực và quản lý người dùng như thế nào? Trong câu hỏi: Hoàn toàn là giả thuyết. Ông mô tả một tình huống thực tế làm dấy lên sự băn khoăn của ông về một tình huống giả định. Anh ta thực sự có nghĩa là "làm thế nào để tôi quản lý nhiều máy chủ unix giống như cách bạn sẽ quản lý nhiều máy chủ windows bằng AD"?
ItsGC

2
Tôi đang lấy bóng của tôi và về nhà! : `(
Ryan Ries

2
/ôm. đây là một cái bánh quy
ItsGC

"nếu bạn không phải đối phó với máy chủ Windows" Dù sao cũng cảm ơn Ryan. Tôi đã thực sự tự hỏi nếu có một cách quản lý bản địa linux tốt hơn ít nhất là các tài khoản và bảo mật.
Keith Loughnane

Có; xem câu trả lời của tôi và những gợi ý về LDAP.
MadHatter

0

Tôi muốn giới thiệu OpenLDAP + Kerberos ( MIT hoặc Heimdal ). Nó liên quan đến việc khiến tay bạn bẩn hơn một chút so với việc bạn sử dụng một sản phẩm như FreeIPA, nhưng khôn ngoan về hiệu suất, bạn không thể đánh bại OpenLDAP.

Liên kết này thực sự cũ, nhưng nó làm nổi bật một số khác biệt về hiệu năng giữa máy chủ Thư mục OpenLDAP và 389 (có trong FreeIPA):

Một số số: Máy chủ thư mục Fedora vs OpenLDAP

Tất nhiên, tôi chắc chắn rằng cả hai sản phẩm đã được cải thiện kể từ đó. Tôi biết số của OpenLDAP tốt hơn rất nhiều, đặc biệt là với phần phụ trợ được ánh xạ bộ nhớ mdb mới .


Một bài viết quá cũ bạn đã phải sử dụng Wayback Machine? Bài viết tốt, nhưng những con số tại thời điểm này sẽ phải được coi là giai thoại.
Aaron Copley

0

Nếu tôi không ở trong một môi trường đặc biệt có ý thức bảo mật, tôi sẽ sử dụng NIS . Nó nhẹ, hoạt động trên nhiều Unice, xử lý tốt lỗi máy chủ (nghĩa là, mỗi máy khách được cấu hình để sử dụng nhiều máy chủ NIS hoặc có thể tìm thấy nhiều máy chủ bằng cách phát sóng, nó mạnh mẽ chống lại sự thất bại của máy chủ bị ràng buộc hiện tại) và đã được sử dụng trong nhiều năm (như trong, tôi nhớ việc cấu hình các máy chủ NIS vào năm 1991) vì vậy các đặc điểm riêng của nó được hiểu khá rõ.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.