Kebijaksanaan umum tentang otentikasi Direktori Aktif untuk Server Linux?

Apa kebijaksanaan umum pada tahun 2014 tentang otentikasi / integrasi Active Directory untuk server Linux dan sistem operasi Windows Server modern (CentOS / RHEL-terfokus)?

Selama bertahun-tahun sejak upaya pertama saya dengan integrasi pada tahun 2004, sepertinya praktik terbaik dalam hal ini telah berubah. Saya tidak yakin metode mana yang saat ini memiliki momentum paling banyak.

Di lapangan, saya telah melihat:

Winbind / Samba
Straight-up LDAP
Terkadang LDAP + Kerberos
Layanan Microsoft Windows untuk Unix (SFU)
Manajemen Identitas Microsoft untuk Unix
NSLCD
SSSD
FreeIPA
Centrify
Powerbroker (tidak juga )

Winbind selalu tampak mengerikan dan tidak bisa diandalkan. Solusi komersial seperti Centrify dan Likewise selalu berhasil, tetapi sepertinya tidak perlu, karena kemampuan ini dimasukkan ke dalam OS.

Beberapa instalasi terakhir yang saya lakukan memiliki fitur peran Microsoft Identity Management for Unix ditambahkan ke server Windows 2008 R2 dan NSLCD di sisi Linux (untuk RHEL5). Ini bekerja sampai RHEL6, di mana kurangnya pemeliharaan pada NSLCD dan masalah manajemen sumber daya memori memaksa perubahan ke SSSD. Red Hat juga tampaknya mendukung pendekatan SSSD, jadi itu tidak masalah untuk saya gunakan.

Saya sedang bekerja dengan instalasi baru di mana pengontrol domain adalah sistem Windows 2008 R2 Core dan tidak memiliki kemampuan untuk menambahkan fitur peran Manajemen Identitas untuk Unix. Dan saya diberitahu bahwa fitur ini sudah usang tidak lagi ada di Windows Server 2012 R2 .

Keuntungan menginstal peran ini adalah keberadaan GUI ini, sementara memungkinkan administrasi satu langkah atribut pengguna yang mudah.

Tapi...

Opsi Alat Server untuk Layanan Informasi Jaringan (NIS) Alat Administrasi Server Jarak Jauh (RSAT) sudah tidak digunakan lagi. Gunakan opsi LDAP, Samba Client, Kerberos, atau non-Microsoft asli.

Itu membuatnya sangat sulit untuk diandalkan jika itu dapat merusak kompatibilitas ke depan. Pelanggan ingin menggunakan Winbind, tetapi semua yang saya lihat dari pihak Red Hat menunjukkan penggunaan SSSD.

Apa pendekatan yang tepat?
Bagaimana Anda menangani ini di lingkungan Anda ?

Pada bulan Maret 2014, Red Hat menerbitkan arsitektur referensi untuk mengintegrasikan Red Hat Enterprise Server dengan Active Directory . (Materi ini pastinya terkini dan relevan.) Saya benci memposting ini sebagai jawaban, tetapi terlalu banyak materi untuk ditransfer ke bidang jawaban.

Dokumen ini (dikoreksi) agak panas dari pers tampaknya fokus pada fitur-fitur baru Red Hat Enterprise Linux (RHEL) 7. Itu diterbitkan untuk KTT minggu lalu.

Jika tautan ini basi, harap beri tahu saya dan saya akan memperbarui jawabannya.

Saya secara pribadi telah menggunakan WinBind cukup andal untuk otentikasi. Ada kegagalan layanan yang sangat jarang terjadi yang mengharuskan seseorang dengan root atau akun lokal lainnya untuk masuk dan bangkit winbindd. Ini mungkin bisa ditangani melalui pemantauan yang tepat jika Anda mau berusaha.

Perlu dicatat bahwa Centrify memang memiliki fungsionalitas tambahan, meskipun ini dapat disediakan oleh manajemen konfigurasi terpisah. (Wayang, dll.)

Edit 6/16/14:

Panduan Integrasi Windows Red Hat Enterprise Linux 7

re: "Solusi komersial seperti Centrify dan Likewise selalu berhasil, tetapi sepertinya tidak perlu, karena kemampuan ini dimasukkan ke dalam OS."

Yah saya pikir sebagian besar dari kita telah mendengar selama bertahun-tahun bahwa sistem operasi XYZ akhirnya memecahkan puzzle integrasi AD. IMHO masalahnya adalah bahwa untuk vendor OS, integrasi AD adalah fitur kotak centang, yaitu mereka perlu memberikan sesuatu yang agak berfungsi untuk mendapatkan kotak centang itu, dan kotak centang itu biasanya hanya berfungsi pada ...

1. platform OS mereka dan
2. versi saat ini dari platform itu dan
3. terhadap versi Active Directory yang lebih baru.

Kenyataannya adalah bahwa sebagian besar lingkungan tidak monolitik dalam hal vendor OS dan versi OS, dan akan memiliki versi AD yang lebih lama. Itu sebabnya vendor seperti Centrify harus mendukung 450+ rasa UNIX / Linux / Mac / dll. terhadap Windows 2000 ke Windows 2012 R2, bukan hanya RHEL 7 lagi Windows 2012 R2.

Selain itu, Anda perlu mempertimbangkan bagaimana iklan Anda dikerahkan, demikian juga integrasi AD vendor vendor OS Hanya Baca Pengontrol Domain (RODCs), trust satu arah, memberikan dukungan multi-hutan, dll. Dan bagaimana jika Anda memiliki ruang UID yang ada (yang Anda inginkan), apakah ada alat migrasi untuk memigrasi UID ke AD. Dan apakah dukungan AD vendor vendor mengatasi kemampuan untuk memetakan beberapa UID ke satu AD dalam situasi di mana ruang UID Anda tidak rata. Dan bagaimana dengan ... baik Anda mendapatkan ide.

Lalu ada pertanyaan tentang dukungan ...

Intinya adalah integrasi AD mungkin tampak mudah secara konseptual dan mungkin "gratis" dengan OS terbaru vendor, dan mungkin dapat bekerja jika Anda hanya memiliki satu versi OS dari satu vendor dan memiliki vanilla AD yang merupakan versi terbaru, dan Anda memiliki kontrak dukungan premium dengan vendor OS yang akan mencoba yang terbaik untuk memperbaiki masalah yang akan muncul. Kalau tidak, Anda mungkin ingin mempertimbangkan solusi pihak ketiga khusus.

Opsi Alat Server untuk Layanan Informasi Jaringan (NIS) Alat Administrasi Server Jarak Jauh (RSAT) sudah tidak digunakan lagi.

Ini tidak mengejutkan bagi saya - NIS adalah bukti bahwa Sun membenci kita dan ingin kita menjadi sengsara.

Gunakan opsi LDAP, Samba Client, Kerberos, atau non-Microsoft asli.

Ini saran yang bagus. Dengan pilihan yang akan saya katakan "Gunakan LDAP asli (lebih dari SSL, tolong)" - ada banyak opsi yang tersedia untuk ini, dua saya paling akrab dengan menjadi pam_ldap + nss_ldap (dari PADL), atau gabungan nss-pam- ldapd (yang berasal dari garpu dan telah melihat pengembangan dan peningkatan yang berkelanjutan).

Karena Anda bertanya tentang RedHat secara khusus, perlu dicatat bahwa RedHat memberi Anda alternatif lain menggunakan SSSD.
Jika lingkungan Anda semuanya-RedHat (atau hanya memiliki sejumlah besar sistem RedHat) melihat ke dalam "RedHat Way of Doing Things" yang didukung secara resmi tentu akan bernilai waktu Anda.

Karena saya tidak punya pengalaman dengan RedHat / SSSD sendiri, saya hanya pergi dengan dokumen, tetapi tampaknya cukup kuat dan dirancang dengan baik.

Dari metode yang disarankan, izinkan saya memberi Anda daftar pro / kontra:

Straight up Kerberos / LDAP

Pro: Berfungsi bagus jika dikonfigurasi dengan benar. Jarang rusak, ulet, akan bertahan dari gangguan jaringan. Tidak perlu ada perubahan dalam AD, tidak ada perubahan skema, tidak ada akses Administrator diperlukan untuk AD. Bebas.

Cons: Relatif sulit untuk dikonfigurasi. Beberapa file perlu diubah. Tidak akan berfungsi jika server otentikasi (Kerberos / LDAP) tidak tersedia.

Winbind

Pro: Mudah dikonfigurasi. Fungsionalitas sudo dasar. Bebas.

Cons: Dukungan intensif. Tidak tangguh jaringan. Jika ada masalah jaringan, mesin linux bisa dikeluarkan dari AD yang membutuhkan registrasi ulang server, tugas dukungan. Diperlukan akses ke akun administrator AD. Mungkin cocok untuk membuat perubahan skema pada AD.

Centrify / Demikian juga dll.

Kelebihan: Relatif mudah dikonfigurasi.

Cons: Mengubah fungsi sudo ke proprietary, lebih sulit untuk didukung. Biaya lisensi per server. Perlu keterampilan tambahan untuk mengelola.

SSSD

Pro: Satu file konfigurasi, mudah dikonfigurasi. Bekerja dengan semua metode otentikasi sekarang dan masa depan. Dapat diukur, tumbuh dengan sistem. Akan bekerja dalam mode terputus. Tangguh jaringan. Tidak perlu melakukan perubahan apa pun pada skema AD. Tidak perlu kredensial administrator AD. Gratis, didukung.

Cons: Tidak memiliki layanan yang menang seperti pembaruan otomatis DNS. Perlu mengkonfigurasi saham CIFS.

Ringkasan

Melihat kelebihan dan kekurangan, SSSD adalah pemenang yang jelas. Jika ini adalah sistem baru, tidak ada alasan untuk menggunakan selain SSSD. Ini adalah integrator yang bekerja dengan semua metode otentikasi yang ada dan dapat tumbuh dengan sistem karena metode baru dapat ditambahkan jika tersedia. Ini menggunakan metode linux asli dan jauh lebih dapat diandalkan dan cepat. Jika caching dihidupkan, sistem akan bekerja bahkan dalam sistem yang benar-benar terputus dengan kegagalan jaringan penuh.

Winbind dapat digunakan untuk sistem yang ada jika ada terlalu banyak pekerjaan yang terlibat untuk diubah.

Centrify memiliki masalah dengan integrasi yang bisa menjadi mahal. Sebagian besar bug diperbaiki pada rilis baru, tetapi masih ada beberapa yang menyebabkan sakit kepala.

Saya telah bekerja dengan semua metode ini dan SSSD adalah pemenang yang jelas. Bahkan untuk sistem yang lebih lama, ROI untuk mengonversi dari Winbind ke SSSD sangat tinggi. Kecuali ada alasan khusus untuk tidak menggunakan SSSD, selalu gunakan SSSD.

Harus mengomentari ini:

Perlu dicatat bahwa Centrify memang memiliki fungsionalitas tambahan, meskipun ini dapat disediakan oleh manajemen konfigurasi terpisah. (Wayang, dll.)

Sebagai seseorang yang bekerja dengan Centrify tidak yakin dari mana komentar itu berasal. Lihat ini dan Anda dapat melihat bahwa ada banyak fitur yang tidak Anda dapatkan dengan alat konfigurasi ala Puppet. Misalnya, dukungan untuk pemetaan beberapa UID ke satu akun AD (Zona), dukungan untuk kepercayaan domain Direktori Aktif penuh (yang didokumentasikan oleh solusi Red Hat pada halaman 3 yang tidak didukung), dll.

Tetapi kembali ke panduan Red Hat ini. Sangat bagus bahwa Red Hat menerbitkan ini, opsi bagus. Catatan itu memberi pelanggan 10 pilihan untuk melakukan integrasi AD dasar. Sebagian besar pilihan adalah variasi Winbind, dan halaman 15 itu mencantumkan kelebihan dan kekurangan masing-masing, dan ada banyak langkah manual yang diperlukan untuk masing-masing (dengan kekurangan / kekurangan fungsi yang sesuai di atas). Keuntungan dari Centrify Express adalah bahwa per komentator lain di atas adalah:

1. mudah untuk menginstal tanpa semua langkah manual dan ...
2. gratis dan ...
3. tidak terbatas pada Red Hat V7 yang penting karena pertanyaannya berkaitan dengan Linux, bukan hanya satu varian - Centrify mendukung lebih dari 300 rasa * nix dan ...
4. mendukung semua varian Windows AD, bukan hanya Windows 2008. Mereka menerbitkan perbandingan Centrify vs Winbind di sini , tetapi ini bukan open source.

Pada akhirnya intinya adalah apakah Anda ingin menggulungnya sendiri atau menggunakan solusi komersial. Benar-benar masalah di mana Anda dan bagaimana Anda menghabiskan waktu Anda.