我们的目标是在小型 LAN 上设置一台文件服务器/打印服务器。为了解决我们遇到的文件权限问题和访问问题,我们认为某种 LDAP 解决方案应该是其中的一部分。我们正在考虑的两个解决方案是:
Samba 4,它(我相信)包括网络文件共享、目录管理和打印机共享功能。
NFS + Kerberos + Avahi + CUPS 最有可能建立在 FreeIPA 服务器上。
首先,我们是否正确理解了这些替代方案?
在几乎完全由 Arch Linux 客户端组成的局域网中,Samba 4 是否是选项 2(带有 NFS v4、Kerberos、CUPS、Avahai 等的 FreeIPA)的良好替代方案?
我们正在寻找一种非常简单的解决方案,用于身份验证、安全文件共享和打印机共享。建议使用普通 Kerberos + LDAP + NFSv4(不含 FreeIPA),但这对我们来说似乎太复杂了。因此,我们考虑使用 FreeIPA 或 Samba。
NIS 也可能是一个选项(与 NFS 等一起)。但是 NIS 比较旧而且不太安全。不过,它很简单。Samba 4 看起来也很简单,而且更安全、更现代。
Samba 4 的功能(在网络文件系统安全性和身份验证方面)与围绕 FreeIPA、NFS、LDAP、Kerberos 构建的系统是否有竞争力?
客户端几乎全部是 Arch Linux。如果我们运行 Samba 4 或 NIS,服务器可以是 Arch。(我们更喜欢到处使用 Arch。)如果我们使用 FreeIPA,服务器必须是 Ubuntu、Red Hat、Fedora 或 CentOS。
如果我们选择 FreeIPA,我们公司愿意购买带有高级支持的 Red Hat。这里没有人了解 Red Hat。但是,让 Arch Linux 客户端使用 Samba 4 作为目录服务会更容易吗?
因此有两个问题:
总体而言,Samba 4 是否是 FreeIPA+NFS+LDAP+Kerberos 的良好替代品?
在所有 Arch Linux 客户端中,哪种替代方案(基于 FreeIPA 还是基于 Samba 4)具有最佳兼容性且麻烦最少?
答案1
首先,我要说的是,无论您选择 Samba4 还是 FreeIPA,您都要为“一个”文件/打印服务器设置许多移动部件。
您可以使用 Samba4 作为文件/打印服务器,并且不是域控制器,并让其保存本地用户列表以进行身份验证。这只需要一个虚拟机和大量存储空间,但这意味着您将失去使用实际域时可以实现的自助密码重置等功能。
FreeIPA 是一款功能齐全的身份、策略和审计解决方案。它不通过它自己提供文件或打印机,但它启用文件和打印服务驻留在域中,对其进行身份验证等。它还管理所有加入域的计算机,在您的情况下是一堆运行 Arch Linux 的机器。完整的功能列表非常广泛,如果您除了文件/打印服务之外还想要部分或全部功能,那么 FreeIPA 就是您的最佳选择。
如果你选择这条路线,我建议使用 Fedora 或 RHEL/CentOS 作为 FreeIPA 的服务器基础。它是在这些平台上开发的,Debian/Ubuntu 则有点次要。Red Hat 文档应该足以让你开始运行。
特别是,如果你使用 Arch,因为你的环境中需要最新的软件,你可能会更乐意Fedora 作为服务器,它试图做同样的事情。您会发现它们之间有很多相似之处,例如与 systemd 有关的任何内容,而且它们之间的差异并不难解决。