Dalam jaringan besar Linux saja bagaimana Anda menangani Otentikasi dan manajemen Pengguna?

Setelah bekerja dengan linux selama bertahun-tahun di jaringan kecil, saya mulai di sebuah perusahaan yang memelihara jaringan windows besar. Saya tahu Anda dapat mengubah host linux ke jaringan Active Directory tetapi apakah ada cara linux-y yang rapi untuk menanganinya jika Anda tidak harus berurusan dengan host Windows. Murni hipotetis.

Setara terdekat dengan Active Directory untuk Linux adalah FreeIPA. FreeIPA dibuat oleh Redhat, dan menyediakan otentikasi berbasis LDAP dan Kerberos ke jaringan Linux ...

FreeIPA adalah solusi manajemen informasi keamanan terpadu yang menggabungkan Linux (Fedora), Server Direktori 389, MIT Kerberos, NTP, DNS, Dogtag (Sistem Sertifikat). Ini terdiri dari antarmuka web dan alat administrasi baris perintah.

Ingatlah, FreeIPA hanya sebagian besar Redhat, dan akan membutuhkan kerja keras untuk menjalankan dan menjalankan Debian / Ubuntu / apa pun ...

http://freeipa.org/page/Main_Page

LDAP adalah protokol aplikasi untuk mengakses dan memelihara layanan informasi direktori terdistribusi melalui jaringan Protokol Internet (IP).

Layanan direktori dapat menyediakan kumpulan catatan yang terorganisir, seringkali dengan struktur hierarkis, seperti direktori email perusahaan. Demikian pula, direktori telepon adalah daftar pelanggan dengan alamat dan nomor telepon.

Saya telah melihat jaringan besar lebih dari seribu server Linux tanpa otentikasi atau manajemen pengguna yang terpusat. Setiap server hanya memiliki akun lokal yang semuanya harus dikelola secara individual.

Itu membuat saya ngeri. Sesuatu seperti Wayang mungkin dapat membantu di departemen sinkronisasi akun di seluruh sistem, tetapi itu tidak akan membantu Anda bergabung dengan host ke domain AD.

Saya tidak percaya pertanyaan Anda adalah tentang direktori setara Active untuk Linux, seperti FreeIPA. Saya pikir pertanyaan Anda adalah tentang mengintegrasikan host Linux ke dalam Microsoft Active Directory yang sudah ada sehingga mesin Windows Anda dan mesin Linux semuanya bercampur di sana dalam direktori yang sama.

Anda sudah tahu, seperti yang Anda katakan, bahwa host Linux dapat "dirakit di sana." Saya setuju dengan metafora itu, karena ini adalah proses yang berantakan menurut saya.

Lalu, ada juga solusi profesional seperti PowerBroker (sebelumnya juga) yang dapat diinstal pada host Linux Anda dan membuat bergabung dengan mereka ke domain AD jauh lebih dapat diandalkan. Bahkan menggabungkan beberapa kemampuan kebijakan kelompok.

Saya pikir Anda cenderung melihat sesuatu seperti itu di perusahaan besar yang ingin bergabung dengan mesin Linux ke domain Windows.

Saya akan merekomendasikan OpenLDAP + Kerberos ( MIT atau Heimdal ). Ini melibatkan membuat tangan Anda sedikit kotor daripada menggunakan produk seperti FreeIPA, tetapi dari sisi kinerja, Anda tidak bisa mengalahkan OpenLDAP.

Tautan ini benar - benar tua, tetapi menyoroti beberapa perbedaan kinerja antara OpenLDAP dan 389 Direktori server (termasuk dalam FreeIPA):

Beberapa Nomor: Fedora Directory Server vs OpenLDAP

Tentu saja, saya yakin kedua produk telah membaik sejak saat itu. Saya tahu angka OpenLDAP jauh lebih baik, terutama dengan backend yang dipetakan dengan memori mdb baru .

Jika saya tidak berada di lingkungan yang sangat memperhatikan keamanan, saya akan menggunakan NIS . Ini ringan, bekerja di banyak Unices, menangani kegagalan server (yaitu, asalkan setiap klien dikonfigurasikan untuk menggunakan beberapa server NIS, atau dapat menemukan beberapa server melalui siaran, ini tangguh terhadap kegagalan server yang saat ini terikat), dan telah digunakan selama bertahun - tahun (seperti pada, saya ingat mengkonfigurasi server NIS pada tahun 1991) sehingga keistimewaannya cukup dipahami.