Ersatz für NIS / YP

8

Das Unternehmen, für das ich arbeite, beginnt damit, die derzeit lokal entwickelte NIS / YP-Struktur durch LDAP zu ersetzen.

Wir haben bereits AD für Windows-Produkte im Haus und möchten die Verwendung eines AD-Systems in Betracht ziehen. Die AD-Leute sind ziemlich restriktiv und würden keine umfangreichen Modifikationen unterstützen.

Der Ersatz muss die Unterstützung umfassen. Die vollen Funktionen der NIS / YP-Suite umfassen Netzgruppen, Anmeldebeschränkungen für bestimmte Server für bestimmte Benutzer oder Benutzergruppen, konsistente Kennwörter zwischen der * nix- und der Windows-Umgebung usw. Unsere Umgebung ist eine Mischung aus Linux (suse, RH, Debian), Sun, IBM, HP und MPRAS sowie einem NETAPP. Was auch immer wir verwenden, muss für alle Umgebungen vollständig inklusiv sein.

Wir haben uns Ebenso angeschaut, aber unser Management möchte andere Alternativen zum Vergleich.

Welche anderen Dinge sollte ich beachten und wie beurteilen Sie die Alternative?

Vielen Dank

linux unix ldap nis active-directory mdpc
quelle

Antworten:

2

Microsoft hatte früher so etwas wie "Dienste für Unix" (es gibt es immer noch, aber mit einem anderen Namen: Es ist jetzt "Subsystem für UNIX-basierte Anwendungen (SUA)"). - Zu den darin enthaltenen Funktionen gehörte ein AD-zu-NIS-Gateway, das dies ermöglicht Sie müssen eine NIS-Domäne erstellen, die effektiv Ihrer AD-Domäne zugeordnet ist.
Dies ist wahrscheinlich der Weg des geringsten Widerstands für Sie, da Ihre Unix-Umgebung heterogen ist. Alles, was NIS verstanden hat, wird den MS NIS-Server verstehen, da es sich bei Ihren Unix-Systemen immer noch um einen einfachen alten NIS-Server handelt.

Eine andere Option ist pam_ldapd (oder pam_ldap + nss_ldap) - Dies würde direkt nach Ihren AD-Servern fragen und einige der Einschränkungen von NIS umgehen, aber ich weiß nicht, wie gut die Netzgruppenunterstützung und dergleichen auf diesen ist (ich weiß pam_ldap + nss_ldap bietet keine funktionierende Netzgruppenunterstützung für FreeBSD.

voretaq7
quelle
1
Seien Sie vorsichtig, wenn SUA in Win8 nicht verfügbar ist und Server 2012 danach nicht mehr verfügbar ist.
Squareborg
@Shutupsquare Ich kann mir vorstellen, dass es einen Ersatz dafür geben wird (oder ein AD <-> NIS-Gateway eines Drittanbieters), aber ehrlich gesagt sind in einer modernen Umgebung die LDAP-Integration und die POSIX-Erweiterungen für AD wirklich der richtige Weg.
voretaq7
2

Sie könnten freeipa ( http://freeipa.org ) von den Redhat-Leuten ausprobieren . Es soll nis / yp ersetzen und bietet Ihnen als Bonus eine kerberisierte Umgebung. Natürlich können Sie Clients nur mit pam_ldap verbinden, aber Sie verlieren dann die einmalige Anmeldung.

Sie können übrigens auch Benutzer mit AD synchronisieren.

natxo asenjo
quelle
1

Da Sie bereits AD im Haus haben, empfehle ich, Freeipa / Redhat IDM als vertrauenswürdige Domäne von Active Directory einzurichten. Auf diese Weise können Sie nicht nur kostenlos alle vorhandenen Benutzer- und Gruppeninformationen in AD verwenden, sondern auch Zugriffssteuerungen und Richtlinien in ipa festlegen.

Sie erhalten auch Kerberos & sso Potenzial. Ipa in diesem Setup präsentiert Anzeigengruppen als Netzgruppen (wie nis).

Es kommt mit einer netten Web-GUI und einer internen rollenbasierten Zugriffskontrolle (z. B. wer Hosts mit dem Kerberos-Bereich verbinden kann, wer Sudo verwalten kann usw.).

Jeder Client sollte sich entweder gegen ipa oder AD authentifizieren können.

QAS (beide Versionen) ist meiner Meinung nach eine ideale Lösung, abgesehen von den Kosten, die verrückt sein können. Es erfordert auch eine Schemaänderung an AD, was selbst in Ordnung ist, aber Ihre AD-Leute mögen das vielleicht nicht.

Die neueren Versionen von winbind sind viel stabiler als 3.x, erfordern jedoch, dass auf jedem Host Zugriffsrichtlinien (sudo, ssh) konfiguriert sind.

Ich kann nicht für zentrifizieren sprechen.

Andy
quelle
0

Ich war in Umgebungen, in denen VAS (jetzt von Quest als etwas anderes bezeichnet) und Centrify verwendet wurden. Ich habe keines der beiden Systeme gewartet, ich war nur ein Benutzer. Ich kann Ihnen also nicht bei der Entscheidung helfen, aber das sind einige andere Namen.

Nach allem, was ich gesehen habe, haben beide funktioniert und beide haben Ihre aufgeführten Anforderungen erfüllt, obwohl es immer Schluckauf gab.

mfinni
quelle
Meine allgemeine Erfahrung ist, dass VAS ein Albtraum ist, wenn es um die Dinge geht, die Sie erwarten (packt neue PAM-Module, Kerberos ist ein wenig daneben), aber es funktioniert. Soweit ich weiß, funktioniert es jedoch nicht mit NetApps.
Phresus
Nicht vertraut mit VAS ... aber Centrify funktioniert mit NetApp.
Aaron Copley
0

Winbind funktioniert gut, besonders mit der RID-Option. Verwenden Sie die AD-Server als NTP-Angelegenheit für die Unix-Boxen. Dies erleichtert die Arbeit und funktioniert einwandfrei. Lassen Sie Kerberos als nächstes mit AD arbeiten. Es ist sehr einfach. Stellen Sie einfach sicher, dass ntp funktioniert und die Clients Anzeigen für DNS verwenden. Die RID-Option in WinBind erzeugt eine vorhersehbare UID für Benutzer und eine GID für Ihre Gruppen. Mit der Samba / Winbind-Konfiguration können Sie eine Shell auswählen, die alle Benutzer erhalten. Ich bin nicht sicher, ob Sie konfigurieren können, dass einzelne Benutzer unterschiedliche Shells haben. Der Benutzer kann bei der Anmeldung immer die gewünschte Shell starten. Die Anmeldebeschränkungen können über sshd_config beibehalten werden, basierend auf Gruppen. Sie müssen mit den älteren Computern und der Netapp beginnen, um festzustellen, ob die von Ihnen installierte Version von Samba / Winbind die Backend-RID-Option unterstützt.

tommyfun
quelle
1
Willkommen bei Server Fault! Wir bevorzugen es wirklich, dass Antworten Inhalte enthalten, die nicht auf Inhalte verweisen. Während dies theoretisch die Frage beantworten kann, wäre es vorzuziehen , die wesentlichen Teile der Antwort hier aufzunehmen und den Link als Referenz bereitzustellen.
user9517