Manajemen pengguna yang sederhana dan terpusat pada LAN kecil - NIS atau LDAP?

12

Saya sedang menyiapkan LAN kecil untuk tim saya. Ini akan, untuk semua maksud dan tujuan, tidak terhubung ke jaringan eksternal apa pun. Saya ingin memiliki kontrol terpusat dari akun pengguna (setidaknya, saya pikir saya akan suka; Saya juga mempertimbangkan menggunakan boneka, jadi secara teoritis saya hanya bisa mendorong / etc / passwd perubahan, atau sesuatu). Jumlah mesin diperbaiki, tetapi tidak terlalu kecil. Sebagian besar mereka 'melekat' pada satu pengguna, tetapi kadang-kadang orang bekerja jarak jauh pada kotak orang lain; dan ada beberapa server.

Saya sudah membaca pertanyaan ini , tetapi skenario saya jauh lebih sederhana (bahkan lebih sederhana daripada dalam pertanyaan ini ) dan saya ingin melakukan sesuatu (relatif) cepat, dengan tidak banyak kerumitan, tetapi bukan hack kotor yang sepenuhnya tidak aman. Apakah NIS relevan dengan skenario saya? Jika tidak, apa cara paling mudah untuk mengatur LDAP (atau LDAP + Kerberos) untuk mencapai hal yang sama?

Catatan:

  • Saya tidak punya pengalaman mengatur NIS atau LDAP.
  • Kami menggunakan distribusi Linux dengan rasa Debian, terutama Kubuntu 12.04 (bukan pilihan saya, tetapi begitulah adanya).
authentication user-management authorization einpoklum
sumber

Jawaban:

19

Saya tidak berpikir siapa pun menggunakan NIS lagi - atau setidaknya, mau.

Cara tercepat dan termudah untuk mendapatkan lingkungan LDAP + Kerberos yang bagus adalah FreeIPA . Mudah dan cukup ringan sehingga saya bahkan menggunakannya di rumah.

Panduan Manajemen Identitas Red Hat adalah pengantar yang bagus untuk FreeIPA dan akan membuat Anda bangun dan berjalan dengan cepat.

Perhatikan bahwa sementara Ubuntu memiliki FreeIPA , versi dalam 12,04 LTS lebih tua dan mungkin memiliki bug atau fitur yang hilang dibandingkan dengan versi yang lebih baru.

Michael Hampton
sumber
Dari melihat situs web, saya khawatir itu mungkin terkait dengan distribusi RedHat'ish (RHEL, CentOS, Fedora). Apakah ini benar?
einpoklum
Ini tersedia untuk Debian dan Ubuntu, tetapi mengapa ada orang yang menggunakan itu? :)
Michael Hampton
1
Itu memang terlihat lebih baik didukung di RHEL / CentOS. Ketika mengatur sesuatu yang sama pentingnya dengan layanan manajemen identitas, mungkin disarankan untuk menggunakan distribusi yang didukung terbaik, terlepas dari apa yang digunakan mesin klien, IMHO.
mpontillo
@ Mike: Distro server bukan pilihan saya, dan saya tidak bisa / tidak ingin menggunakan dedicated server (atau server virtual) untuk ini.
einpoklum
1
Mungkin jika itu benar-benar satu dasmon kecil. Anda benar-benar perlu mendedikasikan mesin (virtual) untuk ini; jika Anda tidak bisa atau tidak mau, maka Anda tidak boleh menggunakan FreeIPA.
Michael Hampton
3

IAR (Replikasi Akun Internet) adalah apa yang Anda cari. Sebagian besar merupakan skrip shell, dan sangat mudah digunakan. Ia menggunakan SSH untuk transportasi - tidak ada keburukan portmapper / RPC seperti NIS, dan menggunakan GPG untuk verifikasi. Ini telah digunakan dalam produksi di Ubuntu dan Redhat. Ini bukan LDAP, jadi jelas tidak dimaksudkan untuk semua tujuan ... tetapi menggantikan NIS untuk sebagian besar penggunaan, dan sangat mudah untuk diatur. Yang mengatakan, saya salah satu penulis hack cepat yang cukup elegan IAR, jadi saya mungkin sedikit bias.

Docs, repo .deb, dan browser kode sumber online tersedia di iar.hcn-inc.com. RPM dan tarball dapat diunduh dari sourceforge.net

Peter Fedorow
sumber
Jawaban yang menarik, tetapi saya tidak bekerja lagi di tempat yang sama sehingga saya tidak dapat mencobanya sekarang ...
einpoklum