我正在工作的公司正在着手用LDAP替换当前本地开发的NIS / YP结构。
我们已经在Windows内部安装了AD,并且希望考虑使用AD系统。AD人士有严格的限制,不支持广泛的修改。
我们需要具有替代品,包括对NIS / YP套件的全部功能的支持,包括网络组,特定用户或特定用户组对特定服务器的登录限制,* nix和Windows环境之间的一致密码等。我们的环境是Linux(suse,RH,Debian),Sun,IBM,HP和MPRAS以及NETAPP的混合体。因此,无论我们使用什么,都必须完全包容所有环境。
我们已经看过类似的内容,但是我们的管理层希望将其他选择与之比较。
我还要看什么其他东西,您对替代方案有何评价?
谢谢
Answers:
微软曾经有一个叫做Unix的服务(它仍然存在,但是名字有所不同:它现在是“基于UNIX的应用程序子系统(SUA)的子系统”)-它包含的功能包括一个AD-NIS网关,它允许您可以创建一个有效地从属于您的AD域的NIS域。
因为您的unix环境是异构的,所以这可能是对您阻力最小的路径-任何了解NIS的人都可以理解MS NIS服务器,因为就您的unix系统而言,它仍然只是一台普通的NIS服务器。
另一个选择是pam_ldapd(或pam_ldap + nss_ldap)-这将直接针对您的AD服务器进行查询并摆脱NIS的某些限制,但是我不知道网络组的支持程度如何(我知道pam_ldap + nss_ldap在FreeBSD上没有有效的网络组支持。
您可以尝试使用redhat的freeipa(http://freeipa.org)。它旨在代替nis / yp,它为您提供了以kerberized环境作为奖励。当然,您可以仅使用pam_ldap插入客户端,但是您将失去单点登录功能。
顺便说一下,您还可以将用户与AD同步。
鉴于您已经拥有AD,我建议考虑将freeipa / Redhat IDM设置为活动目录的受信任域。除了免费外,这还允许您使用AD中所有现有的用户和组信息,同时在ipa中设置访问控制和策略。
您还将获得kerberos和sso潜力。在此设置中,ipa将广告组显示为网络组(如nis)。
它带有一个不错的Web GUI以及基于内部角色的访问控制(例如,谁可以将主机加入kerberos领域,谁可以管理sudo等)。
任何客户端都应该能够针对ipa或AD进行身份验证。
在我看来,QAS(任何一种版本)都是理想的解决方案,但成本可能很高。它还需要对AD进行架构更改,这本身很好,但是您的AD家伙可能不喜欢那样。
Winbind的较新版本比3.x稳定得多,但要求您在每个主机上配置访问策略(sudo,ssh)。
我不能代表集中。
我去过使用VAS(现在从Quest改名为其他名称)和Centrify的环境。我没有维护任何一个系统,我只是一个用户。因此,我无法帮助您做出决定,但这是其他一些名称。
从我的角度来看,尽管总是存在一些问题,但两者都奏效,并且都满足您列出的要求。
Winbind尤其适用于RID选项。将AD服务器用作unix盒的NTP主机,这使事情变得容易一些,并且运行良好。接下来让kerberos与AD一起工作,这非常简单,只需确保ntp正常工作,并且客户端正在将广告用于dns。Winbind中的RID选项将为用户生成可预测的uid,为您的组生成gid。samba / winbind配置将允许您选择所有用户都将获得的外壳,我不确定是否可以配置为使单个用户具有不同的外壳,用户在登录时始终可以启动所需的任何外壳。可以通过sshd_config维护登录限制,该限制基于组。您必须从较早的计算机和Netapp开始,以查看所安装的samba / winbind版本是否支持后端RID选项。