Was ist das Äquivalent von Active Directory unter Linux?

48

Ich habe ein paar Computer zu Hause (plus eine Reihe von Linux-Boxen, die auf VMs ausgeführt werden) und plane, einen davon als zentralen Dateiserver zu verwenden.

Da ich eher ein Linux-Benutzer als ein Systemadministrator bin, möchte ich wissen, was das Äquivalent von "Active Directory" ist. Mein Ziel ist es, meine Dateien auf jedem Computer zu haben, auf dem ich mich in meinem Netzwerk anmelde.

Pablo
quelle

Antworten:

48

Sie entweder Ihre eigenen Active Directory-Äquivalent bauen von Kerberos und OpenLDAP (Active Directory im Grunde ist Kerberos und LDAP, sowieso) und ein Tool wie Puppet (oder OpenLDAP selbst) für die Politik so etwas wie, oder Sie verwenden FreeIPA als integrierte Lösung.

Es gibt auch eine breite Palette von kommerziell unterstützten LDAP-Servern für Linux, wie beispielsweise Red Hat Directory Server. RHDS (wie 389 Server, die kostenlose Version von RHDS) verfügt über eine schöne Java-GUI zur Verwaltung des Verzeichnisses. Es werden jedoch weder Kerberos noch Richtlinien ausgeführt.

Persönlich mag ich das FreeIPA-Projekt sehr und ich denke, es hat viel Potenzial. Eine kommerziell unterstützte Version von FreeIPA ist meines Erachtens in den RHEL6-Standardabonnements enthalten.

Das heißt, was Sie fragen, ist eher eine Dateiserver-Lösung als eine Authentifizierungslösung (was AD ist). Wenn Sie möchten, dass Ihre Dateien auf allen Computern gespeichert werden, auf denen Sie sich anmelden, müssen Sie einen NFS-Server einrichten und eine NFS-Freigabe von Ihrem Dateiserver in Ihr Netzwerk exportieren. NFSv3 verfügt über IP-bereichsbasierte ACLs. NFSv4 ist in der Lage, eine ordnungsgemäße Authentifizierung mit Kerberos durchzuführen und lässt sich gut mit den oben beschriebenen Authentifizierungsoptionen kombinieren.

Wenn Sie Windows-Boxen in Ihrem Netzwerk haben, möchten Sie einen Samba-Server einrichten, der Ihre Dateien für Linux- und Windows-Boxen gleichermaßen freigeben kann. Samba3 kann auch als NT4-Domänencontroller fungieren, wohingegen Samba4 einen Windows 2003-Domänencontroller imitieren kann.

wzzrd
quelle
Danke für die nette Antwort. Eigentlich bin ich mehr an zentraler Authentifizierung interessiert.
Pablo
1
Mit Kerberos erhalten Sie eine zentralisierte Authentifizierung. Und es ist sowieso das Kernprotokoll für die Authentifizierung in AD :)
Avery Payne
10

Wenn Sie nur eine zentrale Authentifizierung wünschen, schauen Sie sich NIS oder NIS + an (früher als Gelbe Seiten bezeichnet, weshalb alle Befehle mit 'yp' beginnen).

Konfigurieren Sie Ihren Hauptserver als Master-NIS-Server und konfigurieren Sie dann alle anderen Felder so, dass sie NIS zur Authentifizierung von Benutzern verwenden.

Die Wikipedia-Seite für NIS ist hier: http://en.wikipedia.org/wiki/Network_Information_Service und das Linux-NIS-Howto hier: http://www.tldp.org/HOWTO/NIS-HOWTO/

Für ein einfaches Heimnetzwerk ist NIS in Ordnung. Wenn Sie mehr Kontrolle darüber benötigen, welche Benutzer welche Server sehen können, müssen Sie NIS + verwenden

dr-jan
quelle
1
Funktioniert gut mit NFS (zum Teilen der aktuellen Dateien)
pjc50
Ja, verwenden Sie NFS, um Benutzer-Ausgangsverzeichnisse auf allen Servern sowie auf allen anderen Verzeichnissen, die Sie freigeben müssen, verfügbar zu machen.
dr-jan
funktioniert NIS mit Windows-Clients?
Knocte
NIS funktioniert nicht mit Windows-Clients - dafür benötigen Sie Active Directory.
dr-jan
1

Wenn Sie wirklich nur versuchen, Dateien von einem Server auf einige andere Computer zu übertragen, möchten Sie möglicherweise nur etwas Einfacheres wie Samba (insbesondere, wenn Sie mit einigen Windows-Clients zusammenarbeiten) oder NFS-Freigaben verwenden.

John Flatness
quelle
1
Idealerweise hätte ich gerne eine zentralisierte Benutzerdatenbank, daher meine Frage. Ich möchte nicht auf allen Computern die gleichen Benutzerkonten erstellen.
Pablo
1

Ich habe OpenLDAP und Samba 3.x ausprobiert und beide bieten Ihnen nicht die zentralisierte Authentifizierung, nach der Sie suchen. Wie wzzrd sagte, wird Samba 4.x Ihnen das wahrscheinlich geben. Der Samba 3.x-Domänencontroller ähnelt eher einer Arbeitsgruppenoption. Sie müssen noch Benutzer in Unix / Samba sowie in Windows erstellen und sie dann zuordnen. Am Ende habe ich OpenLDAP entfernt und benutze jetzt nur Samba.

James
quelle