我所在的公司正在着手用 LDAP 替换当前本地开发的 NIS/YP 结构。
我们公司内部已经为 Windows 系统安装了 AD,并考虑使用 AD 系统。AD 人员非常严格,不支持大范围修改。
我们需要的替代品包括支持 NIS/YP 套件的全部功能,包括网络组、特定用户或用户组对特定服务器的登录限制、*nix 和 Windows 环境之间的一致密码等。我们的环境是 Linux(suse、RH、Debian)、Sun、IBM、HP 和 MPRAS 以及 NETAPP 的混合体。因此,无论我们使用什么,都必须完全包容所有环境。
我们已经研究过 Likewise,但我们的管理层想要其他可供比较的替代方案。
我还应该关注什么?您对替代方案的评价如何?
谢谢
答案1
Microsoft 曾经有一个称为 Services For Unix 的东西(它仍然存在,但名称不同:现在为“基于 UNIX 的应用程序子系统 (SUA)”)——它所包含的功能之一是 AD-to-NIS 网关,它允许您创建一个实际上从属于 AD 域的 NIS 域。
由于您的 unix 环境是异构的,因此这可能是阻力最小的路径——任何理解 NIS 的东西都会理解 MS NIS 服务器,因为就您的 unix 系统而言,它仍然只是一个普通的旧 NIS 服务器。
另一个选项是 pam_ldapd(或 pam_ldap + nss_ldap)——这将直接查询您的 AD 服务器并摆脱 NIS 的一些限制,但我不知道这些服务器上的网络组支持有多好(我知道 pam_ldap + nss_ldap 在 FreeBSD 上没有有效的网络组支持)。
答案2
你可以尝试 freeipa (http://freeipa.org) 来自 redhat 的人们。它旨在取代 nis/yp,并为您提供一个 kerberized 环境作为奖励。当然,您可以只使用 pam_ldap 插入客户端,但这样您就会失去单点登录。
顺便说一句,您还可以将用户与 AD 同步。
答案3
鉴于您家中已有 AD,我建议您考虑将 freeipa/Redhat IDM 设置为 Active Directory 的受信任域。除了免费之外,这还允许您使用 AD 中所有现有的用户和组信息,同时在 ipa 中设置访问控制和策略。
您还可以获得 kerberos 和 sso 潜力。此设置中的 Ipa 将广告组显示为网络组(如 nis)。
它带有一个不错的 Web GUI 和基于内部角色的访问控制(例如谁可以将主机加入到 kerberos 领域,谁可以管理 sudo 等)。
任何客户端都应该能够根据 ipa 或 AD 进行身份验证。
我认为 QAS(无论哪个版本)都是理想的解决方案,但成本可能非常高。它还需要对 AD 进行架构更改,这本身没什么问题,但您的 AD 人员可能不喜欢这样。
winbind 的新版本比 3.x 稳定得多,但要求您在每台主机上配置访问策略(sudo、ssh)。
我不能代表 centrify 发言。
答案4
Winbind 运行良好,尤其是使用 RID 选项时。使用 AD 服务器作为 unix 机器的 NTP 主机,这样会更简单一些,而且运行良好。接下来让 kerberos 与 AD 一起工作,这很简单,只需确保 ntp 正常工作并且客户端正在使用 ad 作为 dns。winbind 中的 RID 选项将为用户生成可预测的 uid,为您的组生成 gid。samba/winbind 配置将允许您选择所有用户都将获得的 shell,我不确定您是否可以配置让各个用户拥有不同的 shell,用户在登录时始终可以启动他们想要的任何 shell。登录限制可以通过 sshd_config 来维护,并根据组进行限制。您必须从较旧的机器和 Netapp 开始,以查看您安装的 samba/winbind 版本是否支持后端 RID 选项。