Zentralisierte Authentifizierung - Empfehlungen?

7

Ich habe eine Herausforderung vor mir, nämlich die Zentralisierung der Authentifizierung. Zeitraum.

Das liegt daran, dass ich und meine große Klappe sagten, ich mag LDAP und alles kann sich dagegen authentifizieren. Ich habe hier so ziemlich jede Art von Desktop, Macs, Windows XP bis zu 7 und die Anzahl der Ubuntu- und Fedora-basierten Distributionen.

Ich habe kein Problem damit, die gesamte Konfigurationsarbeit durchzuführen. Eigentlich sollte das ziemlich lustig sein, ich möchte nur einige Empfehlungen, welche Implementierungen ich mir ansehen sollte.

Vielen Dank

Herr IT Guru
quelle
1
Nur damit die Leute wissen, ist AD keine Option als 'Primary Host'
Mister IT Guru
1
Außerdem würde ich es vorziehen, Apple OD nicht als "primären Host" zu haben - entschuldigen Sie bitte meine eigene Terminologie für Neulinge!
Mister IT Guru

Antworten:

7

Ein Windows-Computer kann sich nativ nur bei einer AD-Domäne authentifizieren, in der er sich befindet (oder bei einer Domäne, der er von der Domäne vertraut, in der er sich befindet). Sie können Ersatz-GINAs finden. Ich glaube, es gibt eine für einfaches altes LDAP.

Sobald Sie jedoch eine AD-Domain haben, haben Sie auch Kerberos und LDAP als Teil des Geschäfts. Sie können OS X gegen AD authentifizieren und PAM verwenden, um die Linux-Computer gegen den LDAP-Teil von AD zu authentifizieren.

mfinni
quelle
Wenn Sie als "Root" -Authentifizierung in Active Directory investieren, können Sie einen Mac Open Directory-Server zum Verwalten dieser Macs hinzufügen. Suchen Sie dazu nach Artikeln über "das goldene Dreieck".
Data Scavenger
Ich plante so etwas wie ein goldenes Dreieck - ich nannte es das Tertiär-Adjunktiv (Voyager-Referenz), wo ich eine Hauptdatenbank habe und dann AD, Mac ODS beide "Slave" davon hatte und auch Linux kann Benutzerauthentifizierung - und im Grunde genommen die Welt übernehmen.
Mister IT Guru
2

Ich würde alle Windows-Computer in eine Domäne einfügen, was die zentralisierte Authentifizierung für sie sehr einfach macht.

MACs können sich gegen AD authentifizieren.

Für die Linux-Computer würde ich SSSD verwenden, das im Allgemeinen mit Kerberos zusammenarbeitet, das bei ordnungsgemäßer Implementierung auch Kennwortänderungen sowohl für das Domänenkonto als auch für das lokale Konto zulässt und das Kennwort-Caching für Laptops implementiert. Das sssd-Paket sollte für Ubuntu und Fedora ab Lager verfügbar sein (wir verwenden es in Debian Squeeze und es funktioniert sehr gut).

Für Ihre verschiedenen anderen Apps, insbesondere Web-Apps, ist die LDAP-Authentifizierung ebenfalls relativ einfach zu implementieren, da die meisten Skriptsprachen über LDAP-Module verfügen.

Es gibt einige Anwendungen, bei denen Sie auf Probleme stoßen. Beispiel: Microsoft Dynamics GP V10 und frühere Versionen unterstützen keine LDAP / AD-Authentifizierung, wurden jedoch für die nächste Version versprochen.

wolfgangsz
quelle