行业标准 DNS 和身份验证?

行业标准 DNS 和身份验证?

我只是好奇,在主要使用 Linux 机器的环境中执行 DNS 和身份验证时,什么被视为行业标准?

  • 如果人们至少拥有一台 Windows 服务器,他们是否会使用 Windows DNS 和 Windows AD 来完成所有工作(嗯 - 很多人可能会这样做,但他们应该这样做吗)?
  • 是否有人在每台服务器上使用主机文件或仅限本地的用户帐户?
  • Facebook/Google 等公司会在其服务器上使用什么来作为 DNS 和身份验证?

我们有一个环境,其中大约有 10-15 台 Linux 服务器和 1-2 台 Windows 服务器。

我们目前正在使用 Windows AD 和 Windows DNS,但对于主要的 Linux 环境来说,这似乎不是最安全/稳定/可扩展的方法?

我们使用 RHEL 作为我们的 Linux 环境。

答案1

最常见的方法是使用 BIND 作为 DNS,然后使用 OpenLDAP 或 389 Directory Server 进行身份验证。Linux 与 Windows 有很大不同,因为 Linux 拥有庞大的生态系统,并且根据您使用的 Linux 版本,不同的产品可能更适合。例如,在 SUSE 环境中,将使用 eDirectory 而不是 Directory Server。

对于需要在 DNS 发生故障时保持正常运行的服务,使用 /etc/hosts 是很常见的。例如,Red Hat Cluster Suite 建议您将所有节点的 IP 地址添加到 /etc/hosts(它甚至可能需要这样做,我不确定)。我相信您已经意识到,这种方法不适用于您的内部 DNS,并且存在许多维护问题。

Windows DNS + AD 在已经拥有域控制器基础设施(通常用于台式机)的环境中很常见。我曾在多个不同的政府和企业环境中工作过,根据我的经验,这种设置很常见。如果您正在利用域控制器并执行所有 Windows 魔法操作,那么这很有意义 - 如果您没有这样做并且更喜欢亲自管理或降低成本,那么 Linux 是最佳选择。

Linux 在较便宜的硬件上通常比 Windows 性能更好,而且扩展性更好,大型互联网站点运行 BIND 或 Directory Server,但它们需要经验丰富的管理员来配置它们。技术本身并不更安全/稳定/可扩展 - 关键在于如何配置它们。这两种方法都有优点和缺点。

Google 和 Facebook 所做的事情与你完全不同,规模也完全不同,要求、预算等也不同。最好从在小环境中成功做到这一点的人那里获得建议。

答案2

坚持使用 Windows 堆栈(AD、DHCP、DNS)进行身份验证以及 DNS 和 DHCP。“不可扩展/不安全/不稳定”的论点不再站得住脚。

1/ 我假设环境中有 Windows PC。您希望将它们放在域中,并让 PC 用户向域进行身份验证。

2/ DNS 和 DHCP 与最新版本的 AD 紧密集成。

3/ Windows DNS 和 DHCP 非常简单直接,并且它们可以相互通信。

4/ 它无处不在。学习它将有助于你的职业生涯,使用它可以让公司在需要时轻松找到其他人来管理它。

回答您的具体问题:

  • 使用 Windows 的用户通常使用 AD 进行身份验证。它随 Windows Server 一起提供,无需额外付费。
  • 少数(受虐狂)人使用主机文件和仅本地配置文件。我会逃离这样的环境,或者修复它。
  • 我怀疑 Google 编写了自己的身份验证引擎,而 Facebook 使用自定义的 LDAP 变体进行 Web 身份验证。但我敢打赌,这两家公司的办公室里都有 Windows 域。

相关内容