在大型的 Linux 网络中,您将如何处理身份验证和用户管理?

在大型的 Linux 网络中,您将如何处理身份验证和用户管理?

在小型网络中使用 Linux 多年后,我开始在一家维护大型 Windows 网络的公司工作。我知道您可以将 Linux 主机拼凑到 Active Directory 网络上,但是如果您不必处理 Windows 主机,是否有一种整洁的 Linux 方式来处理它。纯粹是假设。

答案1

与 Linux 版 Active Directory 最接近的是 FreeIPA。FreeIPA 由 Redhat 开发,为 Linux 网络提供基于 LDAP 和 Kerberos 的身份验证...

FreeIPA 是一个集成的安全信息管理解决方案,结合了 Linux(Fedora)、389 目录服务器、MIT Kerberos、NTP、DNS、Dogtag(证书系统)。它由 Web 界面和命令行管理工具组成。

请记住,FreeIPA 主要仅适用于 Redhat,并且需要做大量工作才能在 Debian/Ubuntu/whatever 上启动并运行...

http://freeipa.org/page/Main_Page

答案2

LDAP是一种通过互联网协议 (IP) 网络访问和维护分布式目录信息服务的应用协议。

目录服务可以提供任何有组织的记录集,通常具有层次结构,例如公司电子邮件目录。同样,电话簿是包含地址和电话号码的订户列表。

答案3

我见过拥有上千台 Linux 服务器的大型网络,却没有集中的用户身份验证或管理。每台服务器都只有本地帐户,而且所有帐户都必须单独维护。

这让我很不爽。像 Puppet 这样的工具可能有助于跨系统同步账户,但它无法帮助您将主机加入 AD 域。

我不认为您的问题是关于 Linux 的 Active Directory 等效项,例如 FreeIPA。我认为您的问题是关于将 Linux 主机集成到现有的 Microsoft Active Directory 中,以便您的 Windows 计算机和 Linux 计算机都混合在同一个目录中。

正如您所说,您已经知道 Linux 主机可以“拼凑起来”。我同意这个比喻,因为在我看来这是一个混乱的过程。

然后,还有专业的解决方案,例如 PowerBroker(以前称为 Likewise),它可以安装在您的 Linux 主机上,使它们更可靠地加入 AD 域。它甚至包含一些组策略功能。

我认为您可能会在想要将其 Linux 机器加入 Windows 域的大型企业中看到类似的事情。

答案4

如果我所处的环境不是特别注重安全,我会使用国家情报系统. 它重量轻,可以在许多 Unix 上运行,能够很好地处理服务器故障(即,只要每个客户端都配置为使用多个 NIS 服务器,或者可以通过广播找到多个服务器,它就可以抵御当前绑定的服务器故障),并且已经用于(例如,我记得在 1991 年配置过 NIS 服务器)所以它的特性很容易理解。

相关内容