Quản lý người dùng đơn giản, tập trung trên mạng LAN nhỏ - NIS hoặc LDAP?

12

Tôi đang thiết lập một mạng LAN nhỏ cho nhóm của mình. Nó sẽ, cho tất cả các ý định và mục đích, sẽ không được kết nối với bất kỳ mạng bên ngoài. Tôi muốn nó có quyền kiểm soát tập trung các tài khoản người dùng (ít nhất, tôi nghĩ tôi muốn điều đó; tôi cũng đang xem xét sử dụng con rối, vì vậy về mặt lý thuyết tôi chỉ có thể đẩy / etc / passwd thay đổi, hoặc một cái gì đó). Số lượng máy cố định, nhưng không nhỏ lắm. Chủ yếu là họ 'gắn liền' với một người dùng, nhưng đôi khi mọi người làm việc từ xa trên hộp của người khác; và có một vài máy chủ

Tôi đã đọc câu hỏi này , nhưng kịch bản của tôi đơn giản hơn nhiều (thậm chí đơn giản hơn trong câu hỏi này ) và tôi muốn làm một cái gì đó (tương đối) nhanh chóng, không gặp nhiều rắc rối, nhưng không phải là một bản hack hoàn toàn không an toàn. NIS có phù hợp với kịch bản của tôi không? Nếu không, cách dễ dàng nhất để thiết lập LDAP (hoặc LDAP + Kerberos) để đạt được điều tương tự là gì?

Ghi chú:

  • Tôi không có kinh nghiệm với việc thiết lập NIS hoặc LDAP.
  • Chúng tôi sử dụng các bản phân phối Linux có hương vị Debian, chủ yếu là Kubfox 12.04 (không phải lựa chọn của tôi, nhưng đó là như vậy).
authentication  user-management  authorization 
einpoklum
nguồn

Câu trả lời:

19

Tôi không nghĩ có ai sử dụng NIS nữa - hoặc ít nhất, muốn.

Cách nhanh nhất và dễ nhất để có được môi trường LDAP + Kerberos đẹp là FreeIPA . Nó dễ dàng và đủ nhẹ để tôi thậm chí sử dụng nó ở nhà.

Hướng dẫn quản lý danh tính của Red Hat là một giới thiệu tuyệt vời về FreeIPA và sẽ giúp bạn nhanh chóng hoạt động.

Lưu ý rằng trong khi Ubuntu có FreeIPA , phiên bản 12.04 LTS cũ hơn và có thể có lỗi hoặc thiếu tính năng so với các phiên bản gần đây hơn.

Michael Hampton
nguồn
Từ việc xem trang web, tôi lo lắng nó có thể được gắn với các bản phân phối của RedHat (RHEL, CentOS, Fedora). Điều này có đúng không?
einpoklum
Nó có sẵn cho Debian và Ubuntu, nhưng tại sao mọi người sẽ sử dụng chúng? :)
Michael Hampton
1
Nó trông có vẻ được hỗ trợ tốt hơn trên RHEL / CentOS. Khi thiết lập một cái gì đó quan trọng như một dịch vụ quản lý danh tính, có thể nên sử dụng phân phối được hỗ trợ tốt nhất, bất kể máy khách đang sử dụng cái gì, IMHO.
mpontillo
@Mike: Bản phân phối của máy chủ không phải là lựa chọn của tôi và tôi không thể / không muốn sử dụng máy chủ chuyên dụng (hoặc máy chủ ảo) cho việc này.
einpoklum
1
Có lẽ nếu nó thực sự là một daemon nhỏ. Bạn thực sự cần phải dành một máy (ảo) cho việc này; nếu bạn không thể hoặc sẽ không, thì bạn không nên sử dụng FreeIPA.
Michael Hampton
3

IAR (Bản sao tài khoản Internet) là những gì bạn đang tìm kiếm. Nó chủ yếu là một kịch bản shell, và nó rất dễ sử dụng. Nó sử dụng SSH để vận chuyển - không có tính xấu của portmapper / RPC như NIS và nó sử dụng GPG để xác minh. Nó đã được sử dụng trong sản xuất trên Ubuntu và Redhat. Nó không phải là LDAP, vì vậy nó chắc chắn không dành cho tất cả các mục đích ... nhưng nó thay thế NIS cho hầu hết các mục đích sử dụng và nó thực sự dễ cài đặt. Điều đó nói rằng, tôi là một trong những tác giả của bản hack khá nhanh thanh lịch mà IAR đang có, vì vậy tôi có thể là một người thiên vị.

Các tài liệu, repo .deb và trình duyệt mã nguồn trực tuyến có sẵn tại iar.hcn-inc.com. RPM và tarball có thể được tải xuống từ sourceforge.net

Peter Fedorow
nguồn
Câu trả lời thú vị, nhưng tôi không làm việc ở cùng một nơi nữa nên tôi không thể thử ngay bây giờ ...
einpoklum
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.