Kebijaksanaan umum tentang otentikasi Direktori Aktif untuk Server Linux?

31

Apa kebijaksanaan umum pada tahun 2014 tentang otentikasi / integrasi Active Directory untuk server Linux dan sistem operasi Windows Server modern (CentOS / RHEL-terfokus)?

Selama bertahun-tahun sejak upaya pertama saya dengan integrasi pada tahun 2004, sepertinya praktik terbaik dalam hal ini telah berubah. Saya tidak yakin metode mana yang saat ini memiliki momentum paling banyak.

Di lapangan, saya telah melihat:

Winbind / Samba
Straight-up LDAP
Terkadang LDAP + Kerberos
Layanan Microsoft Windows untuk Unix (SFU)
Manajemen Identitas Microsoft untuk Unix
NSLCD
SSSD
FreeIPA
Centrify
Powerbroker (tidak juga )

Winbind selalu tampak mengerikan dan tidak bisa diandalkan. Solusi komersial seperti Centrify dan Likewise selalu berhasil, tetapi sepertinya tidak perlu, karena kemampuan ini dimasukkan ke dalam OS.

Beberapa instalasi terakhir yang saya lakukan memiliki fitur peran Microsoft Identity Management for Unix ditambahkan ke server Windows 2008 R2 dan NSLCD di sisi Linux (untuk RHEL5). Ini bekerja sampai RHEL6, di mana kurangnya pemeliharaan pada NSLCD dan masalah manajemen sumber daya memori memaksa perubahan ke SSSD. Red Hat juga tampaknya mendukung pendekatan SSSD, jadi itu tidak masalah untuk saya gunakan.

Saya sedang bekerja dengan instalasi baru di mana pengontrol domain adalah sistem Windows 2008 R2 Core dan tidak memiliki kemampuan untuk menambahkan fitur peran Manajemen Identitas untuk Unix. Dan saya diberitahu bahwa fitur ini sudah usang tidak lagi ada di Windows Server 2012 R2 .

Keuntungan menginstal peran ini adalah keberadaan GUI ini, sementara memungkinkan administrasi satu langkah atribut pengguna yang mudah.

Tapi...

Opsi Alat Server untuk Layanan Informasi Jaringan (NIS) Alat Administrasi Server Jarak Jauh (RSAT) sudah tidak digunakan lagi. Gunakan opsi LDAP, Samba Client, Kerberos, atau non-Microsoft asli.

Itu membuatnya sangat sulit untuk diandalkan jika itu dapat merusak kompatibilitas ke depan. Pelanggan ingin menggunakan Winbind, tetapi semua yang saya lihat dari pihak Red Hat menunjukkan penggunaan SSSD.

Apa pendekatan yang tepat?
Bagaimana Anda menangani ini di lingkungan Anda ?

putih
sumber
1
Dari apa yang saya pahami RHEL 7 akan memiliki dua cara untuk melakukan ini: satu melalui FreeIPA dengan kepercayaan lintas domain ke AD, dan yang lainnya melalui AD melalui realmd dan apa pun yang menjadi ujung depan untuk (saya tidak punya waktu untuk lihat sekarang). Bagaimanapun, Anda akan memiliki cara yang didukung untuk bergabung dengan sistem ke domain langsung dari kickstart.
Michael Hampton
1
Kami menggunakan Centrify untuk kotak Solaris dan RHEL. Cukup mudah untuk menginstal, dan sejujurnya tidak ada masalah / keluhan dalam menggunakannya.
colealtdelete
2
Panduan ini baru saja diterbitkan bulan lalu. Dengan demikian, harus mengandung informasi yang relevan / terkini.
Aaron Copley
1
@AaronCopley Anda boleh memposting itu sebagai jawaban. Saya belum pernah melihat panduan ini sebelumnya.
ewwhite

Jawaban:

19

Pada bulan Maret 2014, Red Hat menerbitkan arsitektur referensi untuk mengintegrasikan Red Hat Enterprise Server dengan Active Directory . (Materi ini pastinya terkini dan relevan.) Saya benci memposting ini sebagai jawaban, tetapi terlalu banyak materi untuk ditransfer ke bidang jawaban.

Dokumen ini (dikoreksi) agak panas dari pers tampaknya fokus pada fitur-fitur baru Red Hat Enterprise Linux (RHEL) 7. Itu diterbitkan untuk KTT minggu lalu.

Jika tautan ini basi, harap beri tahu saya dan saya akan memperbarui jawabannya.

Saya secara pribadi telah menggunakan WinBind cukup andal untuk otentikasi. Ada kegagalan layanan yang sangat jarang terjadi yang mengharuskan seseorang dengan root atau akun lokal lainnya untuk masuk dan bangkit winbindd. Ini mungkin bisa ditangani melalui pemantauan yang tepat jika Anda mau berusaha.

Perlu dicatat bahwa Centrify memang memiliki fungsionalitas tambahan, meskipun ini dapat disediakan oleh manajemen konfigurasi terpisah. (Wayang, dll.)

Edit 6/16/14:

Panduan Integrasi Windows Red Hat Enterprise Linux 7

Aaron Copley
sumber
Tautan "Dokumen ini" tampaknya tidak valid.
Yolo Perdiem
Apakah kamu yakin Saya baru saja membersihkan riwayat / cache dan mencoba lagi. Kemudian saya bahkan mengkonfirmasi di browser lain. Apakah ada orang lain yang mengalami masalah? File ini ditautkan dari halaman ini , di bawah Road to RHEL 7, Pembaruan interoperabilitas: Red Hat Enterprise Linux 7 beta & Microsoft Windows EDIT: Saya melihat ada versi "final" yang diposkan sekarang, tetapi tautan lama masih berfungsi untuk saya? Tetap memperbarui jawabannya.
Aaron Copley
Saya tidak punya masalah. Saya membaca dokumen dan bahkan membandingkan dengan apa yang telah saya lakukan. Beberapa inkonsistensi. Masalah terbesar: Tidak ada menyebutkan Windows Server 2012 :( Jadi saya masih melihat pendapat tentang itu.
ewwhite
Maaf, saya tidak cukup tahu tentang sisi Windows untuk mengetahui bagaimana jika ada implikasi untuk 2012 vs 2008. :( (Selain apa yang Anda katakan tentang Manajemen Identitas untuk peran Unix - yang sepertinya tidak diperlukan .)
Aaron Copley
@AaronCopley Peran ini menyediakan GUI administratif untuk mengaktifkan atribut Unix berdasarkan per pengguna.
ewwhite
10

re: "Solusi komersial seperti Centrify dan Likewise selalu berhasil, tetapi sepertinya tidak perlu, karena kemampuan ini dimasukkan ke dalam OS."

Yah saya pikir sebagian besar dari kita telah mendengar selama bertahun-tahun bahwa sistem operasi XYZ akhirnya memecahkan puzzle integrasi AD. IMHO masalahnya adalah bahwa untuk vendor OS, integrasi AD adalah fitur kotak centang, yaitu mereka perlu memberikan sesuatu yang agak berfungsi untuk mendapatkan kotak centang itu, dan kotak centang itu biasanya hanya berfungsi pada ...

  1. platform OS mereka dan
  2. versi saat ini dari platform itu dan
  3. terhadap versi Active Directory yang lebih baru.

Kenyataannya adalah bahwa sebagian besar lingkungan tidak monolitik dalam hal vendor OS dan versi OS, dan akan memiliki versi AD yang lebih lama. Itu sebabnya vendor seperti Centrify harus mendukung 450+ rasa UNIX / Linux / Mac / dll. terhadap Windows 2000 ke Windows 2012 R2, bukan hanya RHEL 7 lagi Windows 2012 R2.

Selain itu, Anda perlu mempertimbangkan bagaimana iklan Anda dikerahkan, demikian juga integrasi AD vendor vendor OS Hanya Baca Pengontrol Domain (RODCs), trust satu arah, memberikan dukungan multi-hutan, dll. Dan bagaimana jika Anda memiliki ruang UID yang ada (yang Anda inginkan), apakah ada alat migrasi untuk memigrasi UID ke AD. Dan apakah dukungan AD vendor vendor mengatasi kemampuan untuk memetakan beberapa UID ke satu AD dalam situasi di mana ruang UID Anda tidak rata. Dan bagaimana dengan ... baik Anda mendapatkan ide.

Lalu ada pertanyaan tentang dukungan ...

Intinya adalah integrasi AD mungkin tampak mudah secara konseptual dan mungkin "gratis" dengan OS terbaru vendor, dan mungkin dapat bekerja jika Anda hanya memiliki satu versi OS dari satu vendor dan memiliki vanilla AD yang merupakan versi terbaru, dan Anda memiliki kontrak dukungan premium dengan vendor OS yang akan mencoba yang terbaik untuk memperbaiki masalah yang akan muncul. Kalau tidak, Anda mungkin ingin mempertimbangkan solusi pihak ketiga khusus.

Jake Summers
sumber
+1 untuk ini; pengalaman umum saya adalah "mereka mengatakan itu bekerja tetapi tidak pernah bersih".
Maximus Minimus
+ Infinity untuk ini. Centrify bahkan memiliki versi Express mereka gratis jika yang Anda butuhkan hanyalah dukungan otentikasi dasar.
Ryan Bolger
8

Opsi Alat Server untuk Layanan Informasi Jaringan (NIS) Alat Administrasi Server Jarak Jauh (RSAT) sudah tidak digunakan lagi.

Ini tidak mengejutkan bagi saya - NIS adalah bukti bahwa Sun membenci kita dan ingin kita menjadi sengsara.

Gunakan opsi LDAP, Samba Client, Kerberos, atau non-Microsoft asli.

Ini saran yang bagus. Dengan pilihan yang akan saya katakan "Gunakan LDAP asli (lebih dari SSL, tolong)" - ada banyak opsi yang tersedia untuk ini, dua saya paling akrab dengan menjadi pam_ldap + nss_ldap (dari PADL), atau gabungan nss-pam- ldapd (yang berasal dari garpu dan telah melihat pengembangan dan peningkatan yang berkelanjutan).


Karena Anda bertanya tentang RedHat secara khusus, perlu dicatat bahwa RedHat memberi Anda alternatif lain menggunakan SSSD.
Jika lingkungan Anda semuanya-RedHat (atau hanya memiliki sejumlah besar sistem RedHat) melihat ke dalam "RedHat Way of Doing Things" yang didukung secara resmi tentu akan bernilai waktu Anda.

Karena saya tidak punya pengalaman dengan RedHat / SSSD sendiri, saya hanya pergi dengan dokumen, tetapi tampaknya cukup kuat dan dirancang dengan baik.

voretaq7
sumber
6

Dari metode yang disarankan, izinkan saya memberi Anda daftar pro / kontra:

Straight up Kerberos / LDAP

Pro: Berfungsi bagus jika dikonfigurasi dengan benar. Jarang rusak, ulet, akan bertahan dari gangguan jaringan. Tidak perlu ada perubahan dalam AD, tidak ada perubahan skema, tidak ada akses Administrator diperlukan untuk AD. Bebas.

Cons: Relatif sulit untuk dikonfigurasi. Beberapa file perlu diubah. Tidak akan berfungsi jika server otentikasi (Kerberos / LDAP) tidak tersedia.

Winbind

Pro: Mudah dikonfigurasi. Fungsionalitas sudo dasar. Bebas.

Cons: Dukungan intensif. Tidak tangguh jaringan. Jika ada masalah jaringan, mesin linux bisa dikeluarkan dari AD yang membutuhkan registrasi ulang server, tugas dukungan. Diperlukan akses ke akun administrator AD. Mungkin cocok untuk membuat perubahan skema pada AD.

Centrify / Demikian juga dll.

Kelebihan: Relatif mudah dikonfigurasi.

Cons: Mengubah fungsi sudo ke proprietary, lebih sulit untuk didukung. Biaya lisensi per server. Perlu keterampilan tambahan untuk mengelola.

SSSD

Pro: Satu file konfigurasi, mudah dikonfigurasi. Bekerja dengan semua metode otentikasi sekarang dan masa depan. Dapat diukur, tumbuh dengan sistem. Akan bekerja dalam mode terputus. Tangguh jaringan. Tidak perlu melakukan perubahan apa pun pada skema AD. Tidak perlu kredensial administrator AD. Gratis, didukung.

Cons: Tidak memiliki layanan yang menang seperti pembaruan otomatis DNS. Perlu mengkonfigurasi saham CIFS.

Ringkasan

Melihat kelebihan dan kekurangan, SSSD adalah pemenang yang jelas. Jika ini adalah sistem baru, tidak ada alasan untuk menggunakan selain SSSD. Ini adalah integrator yang bekerja dengan semua metode otentikasi yang ada dan dapat tumbuh dengan sistem karena metode baru dapat ditambahkan jika tersedia. Ini menggunakan metode linux asli dan jauh lebih dapat diandalkan dan cepat. Jika caching dihidupkan, sistem akan bekerja bahkan dalam sistem yang benar-benar terputus dengan kegagalan jaringan penuh.

Winbind dapat digunakan untuk sistem yang ada jika ada terlalu banyak pekerjaan yang terlibat untuk diubah.

Centrify memiliki masalah dengan integrasi yang bisa menjadi mahal. Sebagian besar bug diperbaiki pada rilis baru, tetapi masih ada beberapa yang menyebabkan sakit kepala.

Saya telah bekerja dengan semua metode ini dan SSSD adalah pemenang yang jelas. Bahkan untuk sistem yang lebih lama, ROI untuk mengonversi dari Winbind ke SSSD sangat tinggi. Kecuali ada alasan khusus untuk tidak menggunakan SSSD, selalu gunakan SSSD.

R Unnikrishnan
sumber
SSSD mendukung pembaruan DNS Dinamis: access.redhat.com/documentation/en-us/red_hat_enterprise_linux/…
Jonathon Reinhart
5

Harus mengomentari ini:

Perlu dicatat bahwa Centrify memang memiliki fungsionalitas tambahan, meskipun ini dapat disediakan oleh manajemen konfigurasi terpisah. (Wayang, dll.)

Sebagai seseorang yang bekerja dengan Centrify tidak yakin dari mana komentar itu berasal. Lihat ini dan Anda dapat melihat bahwa ada banyak fitur yang tidak Anda dapatkan dengan alat konfigurasi ala Puppet. Misalnya, dukungan untuk pemetaan beberapa UID ke satu akun AD (Zona), dukungan untuk kepercayaan domain Direktori Aktif penuh (yang didokumentasikan oleh solusi Red Hat pada halaman 3 yang tidak didukung), dll.

Tetapi kembali ke panduan Red Hat ini. Sangat bagus bahwa Red Hat menerbitkan ini, opsi bagus. Catatan itu memberi pelanggan 10 pilihan untuk melakukan integrasi AD dasar. Sebagian besar pilihan adalah variasi Winbind, dan halaman 15 itu mencantumkan kelebihan dan kekurangan masing-masing, dan ada banyak langkah manual yang diperlukan untuk masing-masing (dengan kekurangan / kekurangan fungsi yang sesuai di atas). Keuntungan dari Centrify Express adalah bahwa per komentator lain di atas adalah:

  1. mudah untuk menginstal tanpa semua langkah manual dan ...
  2. gratis dan ...
  3. tidak terbatas pada Red Hat V7 yang penting karena pertanyaannya berkaitan dengan Linux, bukan hanya satu varian - Centrify mendukung lebih dari 300 rasa * nix dan ...
  4. mendukung semua varian Windows AD, bukan hanya Windows 2008. Mereka menerbitkan perbandingan Centrify vs Winbind di sini , tetapi ini bukan open source.

Pada akhirnya intinya adalah apakah Anda ingin menggulungnya sendiri atau menggunakan solusi komersial. Benar-benar masalah di mana Anda dan bagaimana Anda menghabiskan waktu Anda.

pengguna217770
sumber