Wie würden Sie in einem großen Linux-Netzwerk mit Authentifizierung und Benutzerverwaltung umgehen?

Nachdem ich jahrelang mit Linux in kleinen Netzwerken gearbeitet habe, habe ich in einem Unternehmen angefangen, das große Windows-Netzwerke unterhält. Ich weiß, dass Sie einen Linux-Host in ein Active Directory-Netzwerk einbinden können, aber es gibt eine ordentliche Art, mit Linux umzugehen, wenn Sie sich nicht mit Windows-Hosts befassen mussten. Rein hypothetisch.

Das dem Active Directory für Linux am nächsten kommende Äquivalent ist FreeIPA. FreeIPA wird von Redhat hergestellt und bietet LDAP- und Kerberos-basierte Authentifizierung für ein Linux-Netzwerk ...

FreeIPA ist eine integrierte Sicherheitsinformationsverwaltungslösung, die Linux (Fedora), 389 Directory Server, MIT Kerberos, NTP, DNS und Dogtag (Zertifikatsystem) kombiniert. Es besteht aus einer Weboberfläche und Befehlszeilen-Verwaltungstools.

Bedenken Sie, dass FreeIPA größtenteils nur Redhat ist und ein gutes Stück Arbeit erfordern würde, um Debian / Ubuntu / whatever zum Laufen zu bringen ...

http://freeipa.org/page/Main_Page

LDAP ist ein Anwendungsprotokoll für den Zugriff auf und die Verwaltung von verteilten Verzeichnisinformationsdiensten über ein IP-Netzwerk (Internet Protocol).

Verzeichnisdienste können beliebige organisierte Datensätze bereitstellen, die häufig eine hierarchische Struktur aufweisen, z. B. ein Unternehmens-E-Mail-Verzeichnis. Ebenso ist ein Telefonbuch eine Liste von Teilnehmern mit einer Adresse und einer Telefonnummer.

Ich habe große Netzwerke mit über tausend Linux-Servern ohne zentralisierte Benutzerauthentifizierung oder -verwaltung gesehen. Jeder einzelne Server hatte nur lokale Accounts, die alle einzeln gepflegt werden mussten.

Das lässt mich zusammenzucken. So etwas wie Puppet kann in dieser Abteilung wahrscheinlich helfen, Konten systemübergreifend zu synchronisieren, aber es hilft Ihnen nicht, die Hosts einer AD-Domäne hinzuzufügen.

Ich glaube nicht, dass Ihre Frage sich auf ein Active Directory-Äquivalent für Linux wie FreeIPA bezieht. Ich denke, Ihre Frage bezieht sich auf die Integration von Linux-Hosts in ein vorhandenes Microsoft Active Directory, sodass Ihre Windows- und Linux-Computer dort alle im selben Verzeichnis zusammengeführt werden.

Sie wissen bereits, wie Sie sagten, dass die Linux-Hosts dort "gepflastert" werden können. Ich stimme dieser Metapher zu, da es meiner Meinung nach ein chaotischer Prozess ist.

Darüber hinaus gibt es professionelle Lösungen wie PowerBroker (ehemals Likewise), die auf Ihren Linux-Hosts installiert werden können und den Beitritt zu einer AD-Domäne wesentlich zuverlässiger machen. Es enthält sogar einige Gruppenrichtlinienfunktionen.

Ich denke, Sie werden so etwas wahrscheinlich in einem großen Unternehmen sehen, das seine Linux-Maschinen einer Windows-Domäne hinzufügen möchte.

Ich würde OpenLDAP + Kerberos ( MIT oder Heimdal ) empfehlen . Es geht darum, dass Sie ein bisschen schmutziger werden als mit einem Produkt wie FreeIPA, aber was die Leistung betrifft, können Sie OpenLDAP nicht schlagen.

Dieser Link ist sehr alt, hebt jedoch einige der Leistungsunterschiede zwischen OpenLDAP und 389 Directory Server (in FreeIPA enthalten) hervor:

Einige Zahlen: Fedora Directory Server vs OpenLDAP

Natürlich bin ich mir sicher, dass sich beide Produkte seitdem verbessert haben. Ich weiß, dass die OpenLDAP-Zahlen viel besser sind, besonders mit dem neuen mdb-Backend mit Speicherzuordnung .

Wenn ich mich nicht in einer besonders sicherheitsbewussten Umgebung befände, würde ich NIS verwenden . Es ist leichtgewichtig, funktioniert auf vielen Unices, kann gut mit Serverausfällen umgehen (vorausgesetzt, jeder Client ist entweder für die Verwendung mehrerer NIS-Server konfiguriert oder kann mehrere Server per Broadcast finden, und es ist robust gegen den Ausfall des derzeit gebundenen Servers) wurde verwendet Jahren (wie in, ich erinnere mich Konfigurieren von NIS - Server 1991) , um seine Idiosynkrasien sind ziemlich gut verstanden.