Tương đương với Active Directory trên Linux là gì


48

Tôi có một vài máy ở nhà (cộng với một số hộp Linux chạy trong máy ảo) và tôi dự định sử dụng một trong số chúng làm máy chủ tệp tập trung.

Vì tôi là người dùng Linux hơn là sysadmin, tôi muốn biết tương đương với cái gì, hãy nói "Active Directory"? Mục tiêu của tôi là để các tệp của tôi trong bất kỳ máy nào tôi đăng nhập vào mạng của mình.

Câu trả lời:


48

Bạn có thể xây dựng Active Directory tương đương với Kerberos và OpenLDAP (Active Directory về cơ bản Kerberos và LDAP) và sử dụng một công cụ như Puppet (hoặc chính OpenLDAP) cho một số chính sách tương tự hoặc bạn sử dụng FreeIPA làm giải pháp tích hợp.

Ngoài ra còn có một loạt các máy chủ LDAP được hỗ trợ thương mại cho Linux, như Red Hat Directory Server. RHDS (như 389 Server, phiên bản miễn phí của RHDS) có GUI Java đẹp để quản lý thư mục. Nó không Kerberos cũng không chính sách mặc dù.

Cá nhân tôi thực sự thích dự án FreeIPA và tôi nghĩ nó có rất nhiều tiềm năng. Một phiên bản FreeIPA được hỗ trợ thương mại được bao gồm trong các đăng ký RHEL6 tiêu chuẩn, tôi tin.

Điều đó nói rằng, những gì bạn đang hỏi về giống như một giải pháp máy chủ tệp hơn là một giải pháp xác thực (đó là AD là gì). Nếu bạn muốn tệp của mình trên tất cả các máy bạn đăng nhập, bạn phải thiết lập máy chủ NFS và xuất chia sẻ NFS từ máy chủ tệp của bạn sang mạng của bạn. NFSv3 có ACL dựa trên phạm vi IP, NFSv4 sẽ có thể thực hiện xác thực đúng với Kerberos và kết hợp độc đáo với các tùy chọn xác thực mà tôi đã mô tả ở trên.

Nếu bạn có các hộp Windows trên mạng của mình, bạn sẽ muốn thiết lập máy chủ Samba, có thể chia sẻ các tệp của bạn với các hộp Linux và Windows. Samba3 cũng có thể hoạt động như một bộ điều khiển miền kiểu NT4, trong khi Samba4 có thể bắt chước một bộ điều khiển miền kiểu Windows 2003.


Cảm ơn câu trả lời tốt đẹp. Thật ra tôi quan tâm nhiều hơn đến xác thực tập trung.
Pablo

1
Kerberos sẽ cung cấp cho bạn xác thực tập trung. Và đó là giao thức cốt lõi được sử dụng để xác thực trong mọi trường hợp AD :)
Avery Payne

10

Nếu bạn chỉ muốn xác thực tập trung, hãy xem NIS hoặc NIS + (trước đây gọi là trang vàng, đó là lý do tại sao tất cả các lệnh bắt đầu bằng 'yp').

Định cấu hình máy chủ chính của bạn làm máy chủ NIS chính, sau đó định cấu hình tất cả các hộp khác để sử dụng NIS để xác thực người dùng.

Trang wikipedia cho NIS có tại đây: http://en.wikipedia.org/wiki/Network_In information_Service và Linux NIS Howto ở đây: http://www.tldp.org/HOWTO/NIS-HOWTO/

Đối với một mạng gia đình cơ bản NIS sẽ ổn. Nếu bạn cần kiểm soát nhiều hơn những người dùng nào có thể xem máy chủ nào bạn sẽ cần sử dụng NIS +


1
Hoạt động tốt với NFS (để chia sẻ các tệp thực tế)
pjc50

Có, sử dụng NFS để làm cho các thư mục nhà của người dùng có sẵn trên tất cả các máy chủ, cộng với bất kỳ thư mục nào khác bạn cần chia sẻ.
dr-jan

NIS có hoạt động với các máy khách Windows không?
knocte

NIS không hoạt động với các máy khách Windows - bạn sẽ cần Active Directory cho điều đó.
dr-jan

1

Nếu bạn thực sự chỉ đang cố gắng chia sẻ tệp từ một máy chủ này sang một số máy khác, bạn có thể chỉ muốn sử dụng một cái gì đó đơn giản hơn như Samba (đặc biệt nếu bạn đang tương tác với một số máy khách Windows) hoặc chia sẻ NFS.


1
Lý tưởng nhất là tôi muốn có một cơ sở dữ liệu người dùng tập trung, do đó câu hỏi của tôi. Tôi không muốn tạo cùng một tài khoản người dùng trên tất cả các máy tính.
Pablo

1

Tôi đã thử OpenLDAP và Samba 3.x và cả hai sẽ không cung cấp cho bạn xác thực tập trung mà bạn đang tìm kiếm. Như wzzrd đã nói, Samba 4.x có thể sẽ cung cấp cho bạn điều đó. Bộ điều khiển miền Samba 3.x giống như một tùy chọn nhóm làm việc. Bạn vẫn cần tạo người dùng trong Unix / Samba cũng như Windows và sau đó ánh xạ chúng. Cuối cùng, tôi đã xóa OpenLDAP và chỉ sử dụng Samba ngay bây giờ.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.