我们已经实施了 LDAP 到 NIS 解决方案,并已开始将一些系统转换为本机 LDAP 绑定以进行身份验证和自动挂载映射。不幸的是,我们的环境非常复杂,有超过 20 个 *nix 环境。每个变体的设置当然都是独一无二的,需要各种解决方法才能获得完整的功能。现在我们愿意重新审视该解决方案,并可能迁移到类似 Likewise (http://www.likewise.org),但想知道其他人用什么来解决这个问题。
答案1
@Avery,
这基本上就是 Likewise Open 所做的。它使用 Kerberos(通过 PAM)对用户进行身份验证。它还提供 NSSWITCH 模块来执行 SID->ID 映射(使用各种算法,一些基于 LDAP,一些基于哈希)。
与普通的 pam_krb5 相比,它有几个优点:
- 支持 AD“站点”,包括智能 DC 故障转移到最近的 DC
- 支持离线身份验证(如果网络中断或您使用的笔记本电脑未连接网络)
- PAM 和 krb5.conf 的自动配置
干杯,
Manny Vellon Likewise 首席技术官
答案2
我曾经有 40 台 Linux 服务器,全部采用本地身份验证。生活简直就是地狱。
我最终通过构建 Active Direcotry 基础设施并实施 Likewise Open 来验证我的所有机器(以及 samba、ftp、jabber 和六个 Web 应用程序)解决了这个问题。
现在我有 80-100 台服务器,它们都使用相同的身份验证,我的用户很喜欢它(但远不及我那么喜欢)。
我从来没有后悔使用过 Likewise。我在博客上多次谈论它,他们还给我寄了一件 T 恤!
答案3
我们通过标准化 RHEL/CentOS“解决”了这个问题。这也解决了大量其他可移植性问题。
至于 LDAP,我们也使用它,但 ldap 和 NSS 之间的接口远非完美(其他任何网络服务也是如此)。如果我有时间,我会考虑部署nss缓存而不是nss_ldap。或者甚至可以用 winbind 替换pam_ldap和nss_ldap,以便更好地与我们的 Windows 环境集成(同样是 winbind 的变体,不是吗?)。
答案4
许多公司都在使用 Likewise,而且它运行良好。我们之前有大约 20 台使用本地用户的服务器,我们迁移到 Likewise 之后生活变得简单多了。