追求真正的 Active Directory 集成

在您嘲笑我说“如果您想要 Active Directory，请使用 Windows”或告诉我使用 Google 之前，请先听我说完。

我的公司非常依赖 AD。不，我们现在已经完全依赖它了，作为财富 10 强公司，这一点不会改变。但是，我们的环境中有很多 *nix 系统（主要是 RHEL 和 SLES），我还没有找到一种与 Active Directory 集成作为身份源的良好机制。至少，我需要一些东西来提供以下内容：

1. 通过 AD 凭证进行身份验证（让用户进门）
2. 验证后授权（授予用户访问系统各个区域的权限）
3. 审计（能够将用户操作与其 AD 凭证联系起来）
4. 支持 AD 组（不仅仅是普通 LDAP 并且必须在系统上添加/删除单个用户）
5. 不是基于 AD 信任的重复/镜像身份源（我不需要两个庞大的系统）

我发现的最佳解决方案如下：

1. 集中化
2. PowerBroker Open（PBIS Open，原为 Likewise-Open）
3. SSSD+SELinux

Centrify ……太丑了。我从来都不是它的忠实粉丝。另外，就我公司的需求而言，我们不能使用 Centrify-Express，所以它不是免费的，也没有无限许可。然而，这是我们找到的最佳解决方案，我迫切希望找到其他解决方案。

我倾向于使用 PBIS Open。​​它是 VMware 在 vShield 后端使用的工具，而且运行良好。它只需要几个命令即可设置，支持 AD 组，并且没有辅助身份管理系统 - 它直接与 AD 对话。我没有选择这条路线的唯一原因是我喜欢本机解决方案，如果有更好的方法并且已经包含在现代发行版中，我完全支持它。

SSSD+SELinux 听起来很棒。虽然设置起来很麻烦，但它灵活、原生，并且受到大多数现代发行版的支持。据我所知，它唯一缺少的是对 AD 组的支持。许多文章建议利用 FreeIPA 或类似的东西来添加此功能，但进一步阅读后发现，这违反了要求 5，基本上创建了一个中间人身份服务。我对复制 AD 或设置对辅助身份服务的信任不感兴趣。

我考虑过的其他临时解决方案包括使用 Puppet（我们使用的）将 /etc/password、shadow、group 文件推送到端点，但这需要开发，它非常间接，而且我可以看到事情会变得很糟糕。更好的选择是将 SSSD+SELinux 添加到 Puppet 想法中。虽然这会简化灾难，但它仍然是一场灾难。

我遗漏了什么，您正在使用什么，以及我还没有考虑到的解决 Linux AD 集成难题的“新热点”是什么？