Wie würden Sie in einem großen Linux-Netzwerk mit Authentifizierung und Benutzerverwaltung umgehen?

12

Nachdem ich jahrelang mit Linux in kleinen Netzwerken gearbeitet habe, habe ich in einem Unternehmen angefangen, das große Windows-Netzwerke unterhält. Ich weiß, dass Sie einen Linux-Host in ein Active Directory-Netzwerk einbinden können, aber es gibt eine ordentliche Art, mit Linux umzugehen, wenn Sie sich nicht mit Windows-Hosts befassen mussten. Rein hypothetisch.

Keith Loughnane
quelle

Antworten:

14

Das dem Active Directory für Linux am nächsten kommende Äquivalent ist FreeIPA. FreeIPA wird von Redhat hergestellt und bietet LDAP- und Kerberos-basierte Authentifizierung für ein Linux-Netzwerk ...

FreeIPA ist eine integrierte Sicherheitsinformationsverwaltungslösung, die Linux (Fedora), 389 Directory Server, MIT Kerberos, NTP, DNS und Dogtag (Zertifikatsystem) kombiniert. Es besteht aus einer Weboberfläche und Befehlszeilen-Verwaltungstools.

Bedenken Sie, dass FreeIPA größtenteils nur Redhat ist und ein gutes Stück Arbeit erfordern würde, um Debian / Ubuntu / whatever zum Laufen zu bringen ...

http://freeipa.org/page/Main_Page

Soviero
quelle
Ich denke, Sie sagen, Ubuntu FreeIPA-Server wäre harte Arbeit? Das Einrichten eines Ubuntu- Clients sollte nicht so schwierig sein.
Nicht jetzt
Ich mag die Tatsache nicht, dass es sich um eine Redhat-Lösung handelt (Vertrauen in das Poster zu diesem Thema, keine Erfahrung damit), aber dies ist definitiv die naheliegendste Antwort auf die Frage der Eltern.
ItsGC
@ItsGC Es ist Redhat nur auf der IPA / Ldap-Serverseite.
Nicht jetzt
@NotNow Auf einem Client ist es mit Redhat einfacher, da es einen Befehl gibt, der alles von LDAP bis NTP in einem Schritt konfiguriert ... Dieser Befehl ist unter Ubuntu (AFAIK) nicht vorhanden, und Sie müssten daher alles von Grund auf selbst tun ...
Soviero
Für alle Interessierten gibt es dieses Paket in Ubuntu 12.04 LTS: packages.ubuntu.com/precise/freeipa-client
Soviero
4

LDAP ist ein Anwendungsprotokoll für den Zugriff auf und die Verwaltung von verteilten Verzeichnisinformationsdiensten über ein IP-Netzwerk (Internet Protocol).

Verzeichnisdienste können beliebige organisierte Datensätze bereitstellen, die häufig eine hierarchische Struktur aufweisen, z. B. ein Unternehmens-E-Mail-Verzeichnis. Ebenso ist ein Telefonbuch eine Liste von Teilnehmern mit einer Adresse und einer Telefonnummer.

Dämon des Chaos
quelle
LDAP ist auch ein integraler Bestandteil von Active Directory.
Sven
1
Leute, ich glaube nicht, dass er gefragt hat, was LDAP ist ...
Ryan Ries
2
LDAP ist die Antwort auf die Frage. Ich habe lediglich zusätzliche Informationen zu LDAP bereitgestellt, um dies weiter zu veranschaulichen.
Daemon of Chaos
Es war nicht die Antwort, ich war auf der Suche nach einer praktischeren Antwort, welche Hardware und Software würden Sie verwenden.
Keith Loughnane
Das hätte dann in deiner Frage angegeben werden sollen.
Dämon des Chaos
0

Ich habe große Netzwerke mit über tausend Linux-Servern ohne zentralisierte Benutzerauthentifizierung oder -verwaltung gesehen. Jeder einzelne Server hatte nur lokale Accounts, die alle einzeln gepflegt werden mussten.

Das lässt mich zusammenzucken. So etwas wie Puppet kann in dieser Abteilung wahrscheinlich helfen, Konten systemübergreifend zu synchronisieren, aber es hilft Ihnen nicht, die Hosts einer AD-Domäne hinzuzufügen.

Ich glaube nicht, dass Ihre Frage sich auf ein Active Directory-Äquivalent für Linux wie FreeIPA bezieht. Ich denke, Ihre Frage bezieht sich auf die Integration von Linux-Hosts in ein vorhandenes Microsoft Active Directory, sodass Ihre Windows- und Linux-Computer dort alle im selben Verzeichnis zusammengeführt werden.

Sie wissen bereits, wie Sie sagten, dass die Linux-Hosts dort "gepflastert" werden können. Ich stimme dieser Metapher zu, da es meiner Meinung nach ein chaotischer Prozess ist.

Darüber hinaus gibt es professionelle Lösungen wie PowerBroker (ehemals Likewise), die auf Ihren Linux-Hosts installiert werden können und den Beitritt zu einer AD-Domäne wesentlich zuverlässiger machen. Es enthält sogar einige Gruppenrichtlinienfunktionen.

Ich denke, Sie werden so etwas wahrscheinlich in einem großen Unternehmen sehen, das seine Linux-Maschinen einer Windows-Domäne hinzufügen möchte.

Ryan Ries
quelle
1
Titel: Wie würden Sie in einem großen Linux-Netzwerk mit Authentifizierung und Benutzerverwaltung umgehen? In der Frage: Rein hypothetisch. Er beschrieb eine reale Situation, die seine Frage nach einer hypotetischen Situation auslöste. Er meinte wirklich "Wie verwalte ich viele Unix-Hosts auf die gleiche Weise, wie Sie viele Windows-Hosts mit AD verwalten würden"?
ItsGC
2
Ich nehme meinen Ball und gehe nach Hause! : `(
Ryan Ries
2
/Umarmung. Hier ist ein Cookie.
ItsGC
"Wenn Sie sich nicht um Windows-Hosts kümmern mussten" Trotzdem danke Ryan. Ich habe mich wirklich gefragt, ob es eine bessere Linux-native Methode gibt, um zumindest die Konten und die Sicherheit zu verwalten.
Keith Loughnane
Es gibt; Siehe meine Antwort und die Vorschläge zu LDAP.
MadHatter
0

Ich würde OpenLDAP + Kerberos ( MIT oder Heimdal ) empfehlen . Es geht darum, dass Sie ein bisschen schmutziger werden als mit einem Produkt wie FreeIPA, aber was die Leistung betrifft, können Sie OpenLDAP nicht schlagen.

Dieser Link ist sehr alt, hebt jedoch einige der Leistungsunterschiede zwischen OpenLDAP und 389 Directory Server (in FreeIPA enthalten) hervor:

Einige Zahlen: Fedora Directory Server vs OpenLDAP

Natürlich bin ich mir sicher, dass sich beide Produkte seitdem verbessert haben. Ich weiß, dass die OpenLDAP-Zahlen viel besser sind, besonders mit dem neuen mdb-Backend mit Speicherzuordnung .

Bmaupin
quelle
Ein Artikel, der so alt war, dass Sie die Wayback-Maschine benutzen mussten? Gut geschriebener Artikel, aber die Zahlen an dieser Stelle müssten als anekdotisch angesehen werden.
Aaron Copley
0

Wenn ich mich nicht in einer besonders sicherheitsbewussten Umgebung befände, würde ich NIS verwenden . Es ist leichtgewichtig, funktioniert auf vielen Unices, kann gut mit Serverausfällen umgehen (vorausgesetzt, jeder Client ist entweder für die Verwendung mehrerer NIS-Server konfiguriert oder kann mehrere Server per Broadcast finden, und es ist robust gegen den Ausfall des derzeit gebundenen Servers) wurde verwendet Jahren (wie in, ich erinnere mich Konfigurieren von NIS - Server 1991) , um seine Idiosynkrasien sind ziemlich gut verstanden.

MadHatter
quelle