31 votos

La sabiduría común acerca de la autenticación de Active Directory para Servidores Linux?

¿Qué es la sabiduría común, en 2014 acerca de la autenticación de Active Directory/integración para servidores Linux y moderno de Windows en sistemas operativos de Servidor (CentOS/RHEL-centrado)?

A través de los años desde mis primeros intentos con la integración en 2004, parece que las mejores prácticas de todo esto ha cambiado. No estoy muy seguro de que el método que actualmente tiene la mayoría de impulso.

En el campo, yo he visto:

Winbind/Samba
Recto-para arriba LDAP
A veces LDAP + Kerberos
Microsoft Windows Services para Unix (SFU)
Microsoft de Gestión de Identidad para Unix
NSLCD
SSSD
FreeIPA
Centrify
Intermediario de influencias (nacida del mismo modo)


Winbind siempre parecía terrible y poco fiables. Las soluciones comerciales, como Centrify y de la misma manera que siempre ha trabajado, pero parecía innecesario, ya que esta capacidad se incluye en el sistema operativo.

Las últimas instalaciones que he hecho tenía la Microsoft de Gestión de Identidad para Unix función característica, que se agrega a un servidor Windows 2008 R2 y NSLCD en el lado Linux (para RHEL5). Esto funcionó hasta que RHEL6, donde la falta de mantenimiento en NSLCD de memoria y cuestiones de gestión de recursos obligó a un cambio de SSSD. Red Hat también se parecía a la vuelta de la SSSD enfoque, por lo que ha sido muy bien para mi uso.

Estoy trabajando con una nueva instalación donde los controladores de dominio de Windows 2008 R2 Núcleo de los sistemas y no tienen la capacidad de añadir la Gestión de la Identidad de Unix función característica. Y me dijeron que esta característica es obsoleta no es más presente en Windows Server 2012 R2.

El beneficio de tener instalada la función es la presencia de esta interfaz gráfica de usuario, mientras que permite fácil con un solo paso de la administración de atributos de usuario.



Pero...

El Servidor de Servicios de Información de Red (NIS) opción de Herramientas de Remoto de Herramientas de Administración de Servidor (RSAT) está en desuso. Nativo de LDAP, Samba Cliente, Kerberos, o no opciones de Microsoft.

Lo que lo hace realmente difícil confiar en que si se puede romper hacia adelante-compatibilidad. El cliente quiere utilizar Winbind, pero todo lo que veo de Red Hat lado apunta a la utilización de SSSD.

¿Cuál es el enfoque correcto?
¿Cómo se maneja esto en tu entorno?

19voto

Aaron Copley Puntos 6043

En Marzo de 2014, de Red Hat publicado una arquitectura de referencia para la integración de Red Hat Enterprise Server con Active Directory. (Este material sin duda debe ser actual y relevante.) Me gusta este post como una respuesta, pero es realmente demasiado material para la transferencia en el campo de la respuesta.

Este documento (corregido) es caliente de la prensa parece centrarse en las nuevas características de Red Hat Enterprise Linux (RHEL) 7. Fue publicado por la Cumbre de la semana pasada.

Debe este enlace vieja, por favor hágamelo saber y voy a actualizar la respuesta en consecuencia.

Yo personalmente he utilizado WinBind bastante fiable para la autenticación. Hay muy poco frecuentes falla en el servicio que requiere a alguien con root o de otro local cuenta para ir en y de rebote winbindd. Esto probablemente podría ser tratado a través de la monitorización adecuada si se puede poner el esfuerzo en él.

Vale la pena señalar que Centrify tiene una funcionalidad adicional, aunque esto puede ser proporcionado por separado, gestión de la configuración. (Puppet, etc.)

Editar 6/16/14:

Red Hat Enterprise Linux 7 Windows Guía De Integración De

10voto

Jake Summers Puntos 81

re: "Las soluciones comerciales, como Centrify y de la misma manera que siempre ha trabajado, pero parecía innecesario, ya que esta capacidad se incluye en el sistema operativo".

Bueno, yo creo que la mayoría de nosotros hemos estado escuchando durante años que XYZ sistema operativo, finalmente, se rompe el ANUNCIO de la integración de puzzle. En mi humilde opinión el problema es que por el proveedor del sistema operativo, el ANUNCIO de la integración es una casilla de verificación característica, es decir, que necesitan para entregar algo que sorta algo trabajos para conseguir que la casilla de verificación, y que la casilla de verificación normalmente sólo funciona en (a) su plataforma de sistema operativo y (b) la versión actual de la plataforma, y (c) en contra de una versión más reciente de Active Directory. La realidad es que la mayoría de los entornos no son monolothic en términos de OS y proveedor de la versión de sistema operativo, y tendrá versiones anteriores de la EA. Es por eso que un proveedor, tales como Centrify tiene que apoyar 450+ sabores de UNIX/Linux/Mac/etc. en contra de Windows 2000 a Windows server 2012 R2, y no solo RHEL 7 de nuevo Windows 2012 R2.

Además, se necesita un factor en la forma de tu ANUNCIO es desplegado, también lo hace el proveedor del sistema operativo de ANUNCIOS de la asistencia a la integración de los Controladores de Dominio de Sólo Lectura (Rodc), unidireccionales, proporcionar multi-bosque de apoyo, etc. Y lo que si usted tiene pre-existente UID espacio (que), hay herramientas de migración para migrar los Uidos en AD. Y no el proveedor del sistema operativo de ANUNCIOS de la dirección de apoyo a la capacidad para asignar varias Uidos a un único ANUNCIO en situaciones en las que su UID espacio no es plano. ¿Y qué acerca de ... bueno, usted consigue la idea.

Allí está la cuestión de la compatibilidad ...

El punto es AD integración puede parecer fácil conceptualmente y puede ser "gratis" con un proveedor del último sistema operativo, y probablemente puede trabajar si usted tiene sólo una versión de un sistema operativo de un solo proveedor y tener una vainilla ANUNCIO que es la última versión, y tiene un soporte premium contrato con el proveedor del sistema operativo que se intente su mejor para solucionar los problemas que se presentan. De lo contrario, puede que desee considerar especializado en la solución de terceros.

8voto

voretaq7 Puntos 63415

El Servidor de Servicios de Información de Red (NIS) opción de Herramientas de Herramientas de Administración de Servidor Remoto (RSAT) está en desuso.

Esto no es ninguna sorpresa para mí-NIS es evidencia de que el Sol nos odiaba y quería ser miserable.

Nativo de LDAP, Samba Cliente, Kerberos, o no opciones de Microsoft.

Este es un buen consejo. Dadas las opciones yo diría que "el Uso nativo (LDAP sobre SSL, por favor)" - hay muchas opciones disponibles para esto, los dos estoy más familiarizado con el hecho de ser pam_ldap + nss_ldap (de PADL), o la combinación de nss-pam-ldapd (que se originó como un tenedor y se ha visto un desarrollo continuo y mejoras).


Puesto que usted está preguntando acerca de RedHat específicamente vale la pena señalar que RedHat te ofrece otras alternativas de uso de SSSD.
Si el entorno es todo-RedHat (o simplemente tiene un gran número de sistemas RedHat) mirando hacia el oficialmente soportado "RedHat Manera de Hacer las Cosas" sería, sin duda vale la pena su tiempo.

Como no tengo experiencia con RedHat/SSSD yo solo voy por el docs, pero parece ser bastante robusto y bien diseñado.

5voto

user217770 Puntos 31

Para comentar sobre esto:

Vale la pena señalar que Centrify tiene una funcionalidad adicional, aunque esto puede ser proporcionado por separado, gestión de la configuración. (Puppet, etc.)

Como alguien que trabaja con Centrify no está seguro de que ese comentario viene de. Mira http://www.centrify.com/express/upgrade-options-for-centrify-express.asp y usted puede ver que hay una gran cantidad de características que no se obtiene con una config mgmt herramienta de ala de Puppet. Por ejemplo, el apoyo para la asignación de los múltiples de Uidos a una sola cuenta de AD (Zonas), apoyo para el completo dominio de Active Directory fideicomisos (que la solución de Red Hat documentos en la página 3 que no es compatible), etc.

Pero volvamos a esta Red Hat guía. Es genial que Red Hat es la publicación de la presente, las opciones son buenas. Nota se le da al cliente 10 opciones básicas de ANUNCIOS de la integración. La mayoría de las opciones son las variaciones de Winbind, y en la página 15 en el que se enumeran las ventajas y desventajas de cada uno, y hay un montón de pasos manuales necesarios para cada uno (con el correspondiente desventajas / falta de funcionalidad por encima). La ventaja de Centrify Expresar es que por los otros comentaristas de arriba es (a) es fácil de instalar w/todos los pasos del manual y (b) es libre y (c) no se limita a Red Hat V7 que es importante, ya que la pregunta tenía que ver con Linux, no es sólo una variante -- Centrify soporta más de 300 sabores de *nix y (d) admite todas las variantes de Windows AD, no sólo de Windows 2008. Se publicó una comparación de Centrify vs Winbind aquí http://www.centrify.com/express/comparing-free-active-directory-integration-tools.asp Pero no es de código abierto.

Al final todo se reduce a ¿quieres lanzar a ti mismo o ir con una solución comercial. Realmente una materia en la que usted y cómo usted pasa su tiempo.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: