Penggantian untuk NIS / YP

Perusahaan tempat saya bekerja sedang memulai menggantikan struktur NIS / YP yang dikembangkan secara lokal dengan LDAP.

Kami sudah memiliki AD di rumah untuk hal-hal Windows dan ingin mempertimbangkan untuk menggunakan sistem AD. Orang-orang AD sangat membatasi dan tidak akan mendukung modifikasi ekstensif.

Kami harus memiliki penggantian termasuk dukungan, kemampuan penuh dari NIS / YP suite termasuk netgroups, pembatasan login ke server tertentu untuk pengguna atau grup pengguna tertentu, kata sandi yang konsisten antara * nix dan lingkungan Windows, dll. Lingkungan kami adalah campuran Linux (suse, RH, Debian), Sun, IBM, HP dan MPRAS serta NETAPP. Jadi apa pun yang kita gunakan harus benar-benar inklusif untuk semua lingkungan.

Kami telah melihat Demikian juga, tetapi manajemen kami ingin alternatif lain untuk dibandingkan.

Apa hal lain yang harus saya perhatikan dan apa penilaian Anda terhadap alternatif itu?

Terima kasih

Microsoft dulunya memiliki sesuatu yang disebut Services For Unix (Masih ada tetapi dengan nama yang berbeda: Sekarang "Subsistem untuk Aplikasi Berbasis UNIX (SUA)") - Di antara fitur yang disertakan adalah gateway AD-to-NIS yang memungkinkan Anda membuat domain NIS yang secara efektif bekerja keras ke domain AD Anda.
Ini mungkin jalan paling tidak resistansi bagi Anda karena lingkungan unix Anda heterogen - Apa pun yang memahami NIS akan memahami server MS NIS, karena sejauh menyangkut sistem unix Anda, masih hanya server NIS biasa.

Pilihan lain adalah pam_ldapd (atau pam_ldap + nss_ldap) - Ini akan menanyakan server AD Anda secara langsung & lolos dari beberapa batasan NIS, tapi saya tidak tahu seberapa bagus dukungan netgroup dan semacamnya pada ini (saya tahu pam_ldap + nss_ldap tidak memiliki dukungan netgroup yang berfungsi di FreeBSD).

Anda dapat mencoba freeipa ( http://freeipa.org ) dari redhat people . Ini dimaksudkan untuk menggantikan nis / yp dan memberi Anda lingkungan yang rusak sebagai bonus. Tentu saja Anda bisa mencolokkan klien hanya dengan pam_ldap, tetapi Anda kehilangan lalu masuk tunggal.

Anda juga dapat menyinkronkan pengguna dengan AD.

Mengingat Anda sudah memiliki AD di rumah, saya sarankan mempertimbangkan freeipa / Redhat IDM ditetapkan sebagai domain tepercaya dari direktori aktif. Selain gratis, ini memungkinkan Anda untuk menggunakan semua informasi pengguna & grup yang ada dalam AD, sambil mengatur kontrol akses dan kebijakan di ipa.

Anda juga mendapatkan potensi kerberos & so. Ipa dalam pengaturan ini menyajikan grup iklan sebagai netgroup (seperti nis).

Muncul dengan web gui yang bagus, dan kontrol akses berbasis peran internal (misalnya siapa yang dapat bergabung dengan host ke ranah kerberos, yang dapat mengelola sudo dll).

Setiap klien harus dapat mengautentikasi terhadap ipa atau AD.

QAS (salah satu versi) adalah solusi ideal menurut saya kecuali untuk biaya, yang bisa gila. Ini juga membutuhkan perubahan skema ke AD, yang dengan sendirinya baik-baik saja tetapi orang-orang AD Anda mungkin tidak menyukainya.

Versi winbind yang lebih baru jauh lebih stabil daripada 3.x, tetapi mengharuskan Anda untuk memiliki kebijakan akses (sudo, ssh) yang dikonfigurasi pada setiap host.

Saya tidak bisa berbicara karena sentrifikasi.

Saya telah berada di lingkungan yang menggunakan VAS (sekarang bernama sesuatu yang lain, dari Quest) dan Centrify. Saya tidak memelihara kedua sistem, saya hanya pengguna. Jadi, saya tidak dapat membantu Anda memutuskan, tetapi itu adalah beberapa nama lain.

Dari apa yang saya lihat, keduanya bekerja, dan keduanya memenuhi persyaratan yang tercantum, meskipun selalu ada beberapa masalah.

Winbind berfungsi dengan baik terutama dengan opsi RID. Gunakan server AD sebagai NTP peduli untuk kotak unix, itu membuat segalanya sedikit lebih mudah dan berfungsi dengan baik. Dapatkan kerberos yang bekerja dengan AD selanjutnya, sangat sederhana, pastikan ntp berfungsi dan klien menggunakan iklan untuk dns. Opsi RID di winbind akan menghasilkan uid yang dapat diprediksi untuk pengguna dan gid untuk grup Anda. Konfigurasi samba / winbind akan memungkinkan Anda memilih shell yang akan didapatkan oleh semua pengguna, saya tidak yakin jika Anda dapat mengkonfigurasi agar setiap pengguna memiliki shell yang berbeda, pengguna selalu dapat memulai shell apa pun yang mereka inginkan ketika mereka login. Pembatasan login dapat dipertahankan melalui sshd_config, membatasi berdasarkan grup. Anda harus mulai dengan mesin yang lebih lama dan Netapp untuk melihat apakah versi samba / winbind yang Anda instal mendukung opsi RID backend.