Протягом багатьох років працюючи з Linux в невеликих мережах, я почав працювати в компанії, яка підтримує великі мережі Windows. Я знаю, що ви можете обміняти хост Linux на мережу Active Directory, але чи є чіткий спосіб Linux для нього, якщо вам не довелося мати справу з хостами Windows. Чисто гіпотетично.
Відповіді:
Найближчий еквівалент Active Directory для Linux - FreeIPA. FreeIPA створений Redhat і надає як автентифікацію на основі LDAP, так і Kerberos для мережі Linux ...
FreeIPA - це комплексне рішення управління інформацією про безпеку, що поєднує Linux (Fedora), сервер каталогів 389, MIT Kerberos, NTP, DNS, Dogtag (система сертифікатів). Він складається з веб-інтерфейсу та інструментів адміністрування командного рядка.
Майте на увазі, FreeIPA значною мірою лише Redhat, і для роботи над Debian / Ubuntu / що завгодно потрібна робота, і ...
LDAP - прикладний протокол для доступу та підтримки інформаційних служб розподілених каталогів через мережу Інтернет-протоколів (IP).
Служби каталогів можуть надавати будь-який організований набір записів, часто з ієрархічною структурою, наприклад, корпоративний каталог електронної пошти. Так само телефонний довідник - це список передплатників з адресою та номером телефону.
Я бачив великі мережі більш ніж тисячі серверів Linux без централізованої автентифікації користувачів або управління. Кожен окремий сервер мав лише локальні облікові записи, які мали вестись індивідуально.
Це змушує мене скупитися. Щось на зразок Лялечки, ймовірно, може допомогти в цьому відділі синхронізації облікових записів між системами, але це не допоможе вам приєднати хостів до домену AD.
Я не вірю, що ваше питання стосується еквівалента Active Directory для Linux, наприклад, FreeIPA. Я думаю, що ваше запитання стосується інтеграції хостів Linux у існуючий каталог Microsoft Active Directory, щоб ваші машини Windows та машини Linux розміщувалися там у одному каталозі.
Ви вже знаєте, як ви вже говорили, що хости Linux можуть бути "обмотані там". Я погоджуюся з цією метафорою, оскільки це на мою думку безладний процес.
Тоді також існують професійні рішення, такі як PowerBroker (раніше аналогічно), який можна встановити на ваших хостах Linux і робить приєднання їх до домену AD набагато надійніше. Він навіть включає деякі можливості групової політики.
Я думаю, що ви, ймовірно, побачите щось подібне на великому підприємстві, яке хоче приєднати свої машини Linux до домену Windows.
Я б рекомендував OpenLDAP + Kerberos ( MIT або Heimdal ). Це передбачає, щоб руки були трохи бруднішими, ніж ви використовували такий продукт, як FreeIPA, однак для продуктивності ви не можете перемогти OpenLDAP.
Це посилання дійсно давнє, але воно підкреслює деякі відмінності в продуктивності між OpenLDAP та 389 сервером каталогів (включені до FreeIPA):
Деякі номери: Сервер каталогів Fedora проти OpenLDAP
Звичайно, я впевнений, що обидва продукти відтоді покращилися. Я знаю, що номери OpenLDAP набагато кращі, особливо з новим резервним кодом пам'яті mdb .
Якби я не був у особливо безпечному середовищі, я би використовував NIS . Він легкий, працює в багатьох Unices, добре справляється з відмовою сервера (тобто за умови, що кожен клієнт або налаштований на використання декількох серверів NIS, або може знайти декілька серверів за допомогою трансляції; він надійний проти відмови сервера, який зараз пов'язаний), і використовувався роками (як, як я пам’ятаю, конфігурував NIS-сервери в 1991 році), тому його ідіосинкразії досить добре зрозуміли.