2014 年关于 Linux 服务器 Active Directory 身份验证/集成的普遍看法是什么?现代的Windows Server 操作系统(以 CentOS/RHEL 为中心)?
自 2004 年我第一次尝试集成以来,多年来,这方面的最佳实践似乎已经发生了变化。我不太确定哪种方法目前发展势头最猛。
在现场,我看到过:
Winbind/Samba
直线上升LDAP
有时 LDAP + Kerberos
适用于 Unix 的 Microsoft Windows 服务 (SFU)
适用于 Unix 的 Microsoft 身份管理
非小细胞肺癌
固态存储系统
免费IPA
集中化
权力掮客 (原名 同样地)
Winbind 似乎总是很糟糕,而且不可靠。Centrify 和 Likewise 等商业解决方案一直有效,但似乎没有必要,因为此功能已嵌入操作系统。
我最近安装的几个设备都有适用于 Unix 的 Microsoft 身份管理角色功能已添加到 Windows 2008 R2 服务器和 Linux 端的 NSLCD(适用于 RHEL5)。此功能一直有效,直到 RHEL6,由于 NSLCD 缺乏维护和内存资源管理问题,才被迫改为使用 SSSD。Red Hat 似乎也支持 SSSD 方法,所以对我来说,这种方法很好。
我正在使用新安装,其中域控制器是 Windows 2008 R2核系统,无法添加 Unix 身份管理角色功能。我被告知此功能已弃用,没有Windows Server 2012 R2 中不再存在。
安装此角色的好处是存在此 GUI,同时允许轻松地一步管理用户属性。
但...
远程服务器管理工具 (RSAT) 的网络信息服务 (NIS) 工具选项服务器已弃用。请使用本机 LDAP、Samba 客户端、Kerberos 或非 Microsoft 选项。
这使得很难相信它是否会破坏向前兼容性。客户希望使用 Winbind,但我从 Red Hat 方面看到的一切都指向使用 SSSD。
正确的做法是什么?
你如何处理这个问题你的环境?
答案1
2014 年 3 月,Red Hat 发布了将 Red Hat Enterprise Server 与 Active Directory 集成。(这些材料当然应该是最新且相关的。)我不想将其作为答案发布,但要转移到答案字段中的材料实在太多了。
这个文件(已更正)刚刚曝光的消息似乎重点关注 Red Hat Enterprise Linux (RHEL) 7 的新功能。它是在上周的峰会上发布的。
如果此链接过期,请告诉我,我会相应地更新答案。
我个人使用 WinBind 进行身份验证相当可靠。偶尔会出现服务故障,需要具有 root 或其他本地帐户的人进入并弹出 winbindd。如果您愿意付出努力,可以通过适当的监控来解决这个问题。
值得注意的是,Centrify 确实具有附加功能,尽管这可以通过单独的配置管理来提供。(Puppet 等)
编辑于 2014 年 6 月 16 日:
答案2
回复:“像 Centrify 和 Likewise 这样的商业解决方案总是有效,但似乎没有必要,因为这种功能已经融入到操作系统中。”
好吧,我想我们大多数人多年来一直听说 XYZ 操作系统终于破解了 AD 集成难题。恕我直言,问题在于对于操作系统供应商来说,AD 集成是一个复选框功能,即他们需要提供某种可以工作的东西来获得该复选框,而该复选框通常只在... 上起作用
- 他们的操作系统平台和
- 该平台的当前版本以及
- 针对较新版本的 Active Directory。
实际情况是,大多数环境在操作系统供应商和操作系统版本方面都不是单一的,并且会使用较旧版本的 AD。这就是为什么 Centrify 等供应商必须支持 450 多种 UNIX/Linux/Mac 等操作系统,以应对 Windows 2000 到 Windows 2012 R2,而不仅仅是 RHEL 7 和 Windows 2012 R2。
此外,您还需要考虑 AD 的部署方式,操作系统供应商的 AD 集成支持只读域控制器 (RODC)、单向信任、提供多林支持等。如果您有预先存在的 UID 空间(您会有),是否有迁移工具可以将 UID 迁移到 AD。操作系统供应商的 AD 支持是否解决了在您的 UID 空间不平坦的情况下将多个 UID 映射到单个 AD 的能力。那么......好吧,您明白了。
接下来是支持的问题...
重点是,AD 集成在概念上似乎很容易,并且对于供应商的最新操作系统来说可能是“免费的”,如果您只有一个来自某个供应商的操作系统版本,并且有一个最新版本的 vanilla AD,并且您与操作系统供应商签订了高级支持合同,他们会尽力解决出现的任何问题,那么 AD 集成可能就可以正常工作。否则,您可能需要考虑专门的第三方解决方案。
答案3
远程服务器管理工具 (RSAT) 的网络信息服务 (NIS) 工具选项服务器已被弃用。
这对我来说并不奇怪——NIS 证明孙中山憎恨我们,并希望我们过得痛苦。
使用本机 LDAP、Samba 客户端、Kerberos 或非 Microsoft 选项。
这是个好建议。考虑到这些选择,我会说“使用本机 LDAP(请通过 SSL)”——有很多可用的选项,我最熟悉的两个是pam_ldap+nss_ldap(来自 PADL),或组合nss-pam-ldapd(最初是一个分支,并且一直在不断发展和完善)。
由于你特别询问的是 RedHat,因此值得注意的是RedHat 为您提供其他选择使用 SSSD。
如果您的环境是全 RedHat(或者只是拥有大量 RedHat 系统),那么研究官方支持的“RedHat 做事方式”肯定值得您花时间。
由于我自己没有使用过 RedHat/SSSD,所以我只是按照文档来操作,但它看起来非常强大并且设计精良。
答案4
对此必须评论一下:
值得注意的是,Centrify 确实具有附加功能,尽管这可以通过单独的配置管理来提供。(Puppet 等)
作为一名使用 Centrify 的人,我不确定这个评论从何而来。看看这您会发现,Puppet 等配置管理工具不具备大量功能。例如,支持将多个 UID 映射到单个 AD 帐户(区域)、支持完整的 Active Directory 域信任(Red Hat 解决方案在第 3 页中说明不支持该信任),等等。
但回到这个 Red Hat 指南。Red Hat 发布这个指南很棒,选项很好。请注意,它为客户提供了 10 个选项来进行基本的 AD 集成。大多数选项都是 Winbind 的变体,第 15 页列出了每个选项的优点和缺点,并且每个选项都需要大量手动步骤(具有上述相应的缺点/功能缺失)。Centrify Express 的优势在于,根据上面的其他评论者的说法:
- 安装非常简单,无需任何手动步骤......
- 是免费的并且...
- 不仅限于 Red Hat V7,这很重要,因为问题与 Linux 有关,而不仅仅是一种变体——Centrify 支持超过 300 种 *nix 和……
- 支持所有 Windows AD 版本,而不仅仅是 Windows 2008。他们发布了 Centrify 与 Winbind 的比较这里,但它不是开源的。
最后,归根结底,您是想自己动手还是采用商业解决方案。这实际上取决于您在哪里以及如何利用时间。