Einfache, zentrale Benutzerverwaltung in einem kleinen LAN - NIS oder LDAP?

12

Ich richte ein kleines LAN für mein Team ein. Es wird in keiner Weise mit externen Netzwerken verbunden. Ich möchte, dass die Benutzerkonten zentral gesteuert werden (zumindest würde mir das gefallen; ich überlege mir auch, Puppet zu verwenden, damit ich theoretisch nur / etc / passwd-Änderungen vornehmen könnte oder so). Die Anzahl der Maschinen ist festgelegt, aber nicht sehr klein. Meist sind sie an einen einzelnen Benutzer gebunden, aber manchmal arbeiten die Benutzer remote an der Box eines anderen Benutzers. und es gibt ein paar Server.

Ich habe diese Frage gelesen , aber mein Szenario ist viel einfacher (noch einfacher als in dieser Frage ) und ich möchte etwas (relativ) schnelles tun, mit wenig Aufwand, aber keinem schmutzigen, völlig unsicheren Hack. Ist NIS für mein Szenario relevant? Wenn nicht, wie lässt sich LDAP (oder LDAP + Kerberos) am einfachsten einrichten, um dasselbe zu erreichen?

Anmerkungen:

  • Ich habe keine Erfahrung mit der Einrichtung von NIS oder LDAP.
  • Wir verwenden Linux-Distributionen mit Debian-Flair, hauptsächlich Kubuntu 12.04 (nicht meine Wahl, aber so ist es).
einpoklum
quelle

Antworten:

19

Ich glaube nicht, dass irgendjemand NIS mehr benutzt - oder zumindest will.

Der schnellste und einfachste Weg, eine schöne LDAP + Kerberos-Umgebung zu erstellen , ist FreeIPA . Es ist einfach und leicht genug, dass ich es sogar zu Hause benutze.

Red Hats Identity Management Guide ist eine großartige Einführung in FreeIPA und bringt Sie schnell zum Laufen.

Beachten Sie, dass Ubuntu über FreeIPA verfügt , die Version in 12.04 LTS jedoch älter ist und im Vergleich zu neueren Versionen möglicherweise Fehler oder fehlende Funktionen aufweist.

Michael Hampton
quelle
Ich fürchte, die Website könnte an RedHat'ish-Distributionen (RHEL, CentOS, Fedora) gebunden sein. Ist das wahr?
Einpoklum
Es ist für Debian und Ubuntu verfügbar, aber warum sollte jemand diese verwenden? :)
Michael Hampton
1
Auf RHEL / CentOS sieht es besser aus. Wenn Sie einen so wichtigen Dienst wie einen Identitätsverwaltungsdienst einrichten, ist es möglicherweise ratsam, die am besten unterstützte Verteilung zu verwenden, unabhängig davon, welche Clientcomputer verwendet werden (IMHO).
mpontillo
@Mike: Die Distribution des Servers ist nicht meine Wahl, und ich kann / will keinen dedizierten Server (oder virtuellen Server) dafür verwenden.
Einpoklum
1
Vielleicht, wenn es wirklich ein winziger Dämon wäre. Sie müssen wirklich eine (virtuelle) Maschine dafür reservieren. Wenn Sie nicht können oder wollen, sollten Sie FreeIPA nicht verwenden.
Michael Hampton
3

IAR (Internet Account Replication) ist das, wonach Sie suchen. Es ist meistens ein Shell-Skript und es ist sehr einfach zu bedienen. Es verwendet SSH für den Transport - keine Portmapper- / RPC-Hässlichkeit wie NIS, und es verwendet GPG zur Verifizierung. Es wurde in der Produktion unter Ubuntu und Redhat verwendet. Es ist kein LDAP, daher ist es definitiv nicht für alle Zwecke gedacht ... aber es ersetzt NIS für die meisten Verwendungszwecke und ist wirklich einfach einzurichten. Das heißt, ich bin einer der Autoren des schnellen, ziemlich eleganten Hacks, den IAR ist, also bin ich vielleicht ein bisschen voreingenommen.

Die Dokumente, ein .deb-Repo und ein Online-Quellcode-Browser sind unter iar.hcn-inc.com verfügbar. RPMs und ein Tarball können von sourceforge.net heruntergeladen werden

Peter Fedorow
quelle
Interessante Antwort, aber ich arbeite nicht mehr am selben Ort, daher kann ich es jetzt nicht ausprobieren ...
Einpoklum