我正在尝试找到一种方法来集中管理大量 Windows 和 Linux 服务器(包括网络设备(Cisco、HP、Juniper))的用户和身份验证。选项包括 RADIUS/LDAP/TACACS/... 想法是跟踪人员变动和对这些设备的访问。
最好是兼容 Linux、Windows 和那些网络设备的系统。看来 Windows 是所有系统中最顽固的,对于 Linux 和网络设备来说,实施解决方案比较容易(例如使用 PAM.D)。
我们应该寻找适用于 Windows 的 Active Directory/域控制器解决方案吗?有趣的旁注;我们还管理客户端系统,这些系统通常已经在域中。域控制器之间的信任关系对我们来说并不总是一种选择(由于客户端安全限制)。
我很想听听关于如何为这些系统实现这种集中式身份验证“门户”的新想法。
答案1
有一个解决方案。它被称为 KerberosV5。它可以满足您的所有需求,并且 Windows、Linux、Unix 和网络设备都提供了良好的支持。看看它。
答案2
许多东西可以直接使用 Kerberos 对 AD 域进行身份验证。
如果您在 AD 服务器上启用匿名绑定,则可以使用 ldap 管理授权。
您还可以将 AD 服务器配置为 NIS 服务器。我正在做这件事,这似乎并不简单,但也并不难。NIS + Kerberos 巧妙地解决了可能没有 pam_ldap 模块的过时系统的问题。
最后,您可以使用 AD 服务器作为 RADIUS 服务器,这巧妙地解决了“访问随机网络/RAS 设备”问题。
我主要是一个unix用户,你需要在AD服务器上做很多配置才能让它做这些事情,这很令人沮丧,但它真的很难否认 AD 提供的一站式购物服务。微软多年来可能有很多糟糕的产品,但 Active Directory 确实是一项了不起的技术。
答案3
感谢您对 Kerberos V5 的回复,这确实看起来很有希望。
微软自己开发的另一个工具是 Forefront Identity Manager (FIM),它允许在不将服务器置于域中的情况下进行身份管理。
http://www.microsoft.com/forefront/identitymanager/en/us/default.aspx
答案4
我对发布商业工具的建议持谨慎态度,但我们还是开始吧……FoxT 的“BoKS 访问控制”为您提供对 Unix、Linux、VMWare 和 Windows 系统的用户帐户和网络访问权限的细粒度控制。
不幸的是它不支持网络设备。