Dalam jaringan besar Linux saja bagaimana Anda menangani Otentikasi dan manajemen Pengguna?


12

Setelah bekerja dengan linux selama bertahun-tahun di jaringan kecil, saya mulai di sebuah perusahaan yang memelihara jaringan windows besar. Saya tahu Anda dapat mengubah host linux ke jaringan Active Directory tetapi apakah ada cara linux-y yang rapi untuk menanganinya jika Anda tidak harus berurusan dengan host Windows. Murni hipotetis.

Jawaban:


14

Setara terdekat dengan Active Directory untuk Linux adalah FreeIPA. FreeIPA dibuat oleh Redhat, dan menyediakan otentikasi berbasis LDAP dan Kerberos ke jaringan Linux ...

FreeIPA adalah solusi manajemen informasi keamanan terpadu yang menggabungkan Linux (Fedora), Server Direktori 389, MIT Kerberos, NTP, DNS, Dogtag (Sistem Sertifikat). Ini terdiri dari antarmuka web dan alat administrasi baris perintah.

Ingatlah, FreeIPA hanya sebagian besar Redhat, dan akan membutuhkan kerja keras untuk menjalankan dan menjalankan Debian / Ubuntu / apa pun ...

http://freeipa.org/page/Main_Page


Saya pikir Anda mengatakan server Ubuntu FreeIPA akan menjadi kerja keras? Menyiapkan klien Ubuntu seharusnya tidak sesulit itu.
Not Now

Saya tidak suka fakta bahwa ini adalah satu-satunya solusi Redhat (mempercayai poster tentang hal ini, 0 pengalaman dengannya), tetapi ini jelas merupakan hal yang paling dekat dengan jawaban untuk pertanyaan orang tua.
ItsGC

@ItsGC Ini Redhat hanya di sisi server IPA / Ldap.
Not Now

@Tidak Sekarang pada klien, lebih mudah dengan Redhat karena ada satu perintah yang mengonfigurasi semuanya dari LDAP ke NTP dalam satu langkah ... Perintah itu tidak ada di Ubuntu (AFAIK), dan jadi Anda harus melakukan semuanya sendiri dari awal ...
Soviero

Bagi siapa pun yang tertarik, ada paket ini di Ubuntu 12.04 LTS: packages.ubuntu.com/precise/freeipa-client
Soviero

4

LDAP adalah protokol aplikasi untuk mengakses dan memelihara layanan informasi direktori terdistribusi melalui jaringan Protokol Internet (IP).

Layanan direktori dapat menyediakan kumpulan catatan yang terorganisir, seringkali dengan struktur hierarkis, seperti direktori email perusahaan. Demikian pula, direktori telepon adalah daftar pelanggan dengan alamat dan nomor telepon.


LDAP juga merupakan bagian integral dari Active Directory.
Sven

1
Guys, saya tidak berpikir dia bertanya apa itu LDAP ...
Ryan Ries

2
LDAP adalah jawaban untuk pertanyaan itu. Saya hanya memberikan informasi tambahan tentang LDAP untuk lebih menggambarkannya.
Daemon of Chaos

Bukan jawabannya, saya mencari yang lebih praktis, perangkat keras dan perangkat lunak apa yang akan Anda gunakan.
Keith Loughnane

Itu seharusnya sudah ditentukan dalam pertanyaan Anda.
Daemon of Chaos

0

Saya telah melihat jaringan besar lebih dari seribu server Linux tanpa otentikasi atau manajemen pengguna yang terpusat. Setiap server hanya memiliki akun lokal yang semuanya harus dikelola secara individual.

Itu membuat saya ngeri. Sesuatu seperti Wayang mungkin dapat membantu di departemen sinkronisasi akun di seluruh sistem, tetapi itu tidak akan membantu Anda bergabung dengan host ke domain AD.

Saya tidak percaya pertanyaan Anda adalah tentang direktori setara Active untuk Linux, seperti FreeIPA. Saya pikir pertanyaan Anda adalah tentang mengintegrasikan host Linux ke dalam Microsoft Active Directory yang sudah ada sehingga mesin Windows Anda dan mesin Linux semuanya bercampur di sana dalam direktori yang sama.

Anda sudah tahu, seperti yang Anda katakan, bahwa host Linux dapat "dirakit di sana." Saya setuju dengan metafora itu, karena ini adalah proses yang berantakan menurut saya.

Lalu, ada juga solusi profesional seperti PowerBroker (sebelumnya juga) yang dapat diinstal pada host Linux Anda dan membuat bergabung dengan mereka ke domain AD jauh lebih dapat diandalkan. Bahkan menggabungkan beberapa kemampuan kebijakan kelompok.

Saya pikir Anda cenderung melihat sesuatu seperti itu di perusahaan besar yang ingin bergabung dengan mesin Linux ke domain Windows.


1
Judul: Dalam jaringan hanya Linux yang besar bagaimana Anda menangani Otentikasi dan manajemen Pengguna? Dalam pertanyaan: Murni hipotetis. Dia menggambarkan situasi nyata yang memicu pertanyaannya tentang situasi hipotetis. Dia benar-benar berarti "bagaimana saya mengelola banyak host unix dengan cara yang sama Anda akan mengelola banyak host windows dengan AD"?
ItsGC

2
Saya mengambil bola saya dan pulang! : `(
Ryan Ries

2
/memeluk. di sini adalah cookie.
ItsGC

"Jika Anda tidak harus berurusan dengan host Windows" Terima kasih, Ryan. Saya benar-benar bertanya-tanya apakah ada cara asli linux yang lebih baik untuk mengelola setidaknya akun dan keamanan.
Keith Loughnane

Ada; lihat jawaban saya, dan saran tentang LDAP.
MadHatter

0

Saya akan merekomendasikan OpenLDAP + Kerberos ( MIT atau Heimdal ). Ini melibatkan membuat tangan Anda sedikit kotor daripada menggunakan produk seperti FreeIPA, tetapi dari sisi kinerja, Anda tidak bisa mengalahkan OpenLDAP.

Tautan ini benar - benar tua, tetapi menyoroti beberapa perbedaan kinerja antara OpenLDAP dan 389 Direktori server (termasuk dalam FreeIPA):

Beberapa Nomor: Fedora Directory Server vs OpenLDAP

Tentu saja, saya yakin kedua produk telah membaik sejak saat itu. Saya tahu angka OpenLDAP jauh lebih baik, terutama dengan backend yang dipetakan dengan memori mdb baru .


Sebuah artikel yang sangat tua sehingga Anda harus menggunakan Mesin Wayback? Artikel yang ditulis dengan baik, tetapi angka pada titik ini harus dianggap anekdotal.
Aaron Copley

0

Jika saya tidak berada di lingkungan yang sangat memperhatikan keamanan, saya akan menggunakan NIS . Ini ringan, bekerja di banyak Unices, menangani kegagalan server (yaitu, asalkan setiap klien dikonfigurasikan untuk menggunakan beberapa server NIS, atau dapat menemukan beberapa server melalui siaran, ini tangguh terhadap kegagalan server yang saat ini terikat), dan telah digunakan selama bertahun - tahun (seperti pada, saya ingat mengkonfigurasi server NIS pada tahun 1991) sehingga keistimewaannya cukup dipahami.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.