替代NIS / YP


8

我正在工作的公司正在着手用LDAP替换当前本地开发的NIS / YP结构。

我们已经在Windows内部安装了AD,并且希望考虑使用AD系统。AD人士有严格的限制,不支持广泛的修改。

我们需要具有替代品,包括对NIS / YP套件的全部功能的支持,包括网络组,特定用户或特定用户组对特定服务器的登录限制,* nix和Windows环境之间的一致密码等。我们的环境是Linux(suse,RH,Debian),Sun,IBM,HP和MPRAS以及NETAPP的混合体。因此,无论我们使用什么,都必须完全包容所有环境。

我们已经看过类似的内容,但是我们的管理层希望将其他选择与之比较。

我还要看什么其他东西,您对替代方案有何评价?

谢谢

Answers:


2

微软曾经有一个叫做Unix的服务(它仍然存在,但是名字有所不同:它现在是“基于UNIX的应用程序子系统(SUA)的子系统”)-它包含的功能包括一个AD-NIS网关,它允许您可以创建一个有效地从属于您的AD域的NIS域。
因为您的unix环境是异构的,所以这可能是对您阻力最小的路径-任何了解NIS的人都可以理解MS NIS服务器,因为就您的unix系统而言,它仍然只是一台普通的NIS服务器。

另一个选择是pam_ldapd(或pam_ldap + nss_ldap)-这将直接针对您的AD服务器进行查询并摆脱NIS的某些限制,但是我不知道网络组的支持程度如何(我知道pam_ldap + nss_ldap在FreeBSD上没有有效的网络组支持。


1
在Win8和Server 2012中使用SUA时要格外小心,之后它们将不可用。
squareborg 2012年

@Shutupsquare我想会有一个替代品(或第三方AD <-> NIS网关),但是老实说,在现代环境中,LDAP集成和AD的POSIX扩展确实是可行的方法。
voretaq7

2

您可以尝试使用redhat的freeipa(http://freeipa.org)。它旨在代替nis / yp,它为您提供了以kerberized环境作为奖励。当然,您可以仅使用pam_ldap插入客户端,但是您将失去单点登录功能。

顺便说一下,您还可以将用户与AD同步。


1

鉴于您已经拥有AD,我建议考虑将freeipa / Redhat IDM设置为活动目录的受信任域。除了免费外,这还允许您使用AD中所有现有的用户和组信息,同时在ipa中设置访问控制和策略。

您还将获得kerberos和sso潜力。在此设置中,ipa将广告组显示为网络组(如nis)。

它带有一个不错的Web GUI以及基于内部角色的访问控制(例如,谁可以将主机加入kerberos领域,谁可以管理sudo等)。

任何客户端都应该能够针对ipa或AD进行身份验证。

在我看来,QAS(任何一种版本)都是理想的解决方案,但成本可能很高。它还需要对AD进行架构更改,这本身很好,但是您的AD家伙可能不喜欢那样。

Winbind的较新版本比3.x稳定得多,但要求您在每个主机上配置访问策略(sudo,ssh)。

我不能代表集中。


0

我去过使用VAS(现在从Quest改名为其他名称)和Centrify的环境。我没有维护任何一个系统,我只是一个用户。因此,我无法帮助您做出决定,但这是其他一些名称。

从我的角度来看,尽管总是存在一些问题,但两者都奏效,并且都满足您列出的要求。


我的一般经验是,就您所期望的事情(打包新的PAM模块,Kerberos有点不足)而言,VAS是一场噩梦,但它确实有效。据我所知,它不适用于NetApps。
phresus

不熟悉VAS ...但是Centrify可与NetApp一起使用。
亚伦·科普利2010年

0

Winbind尤其适用于RID选项。将AD服务器用作unix盒的NTP主机,这使事情变得容易一些,并且运行良好。接下来让kerberos与AD一起工作,这非常简单,只需确保ntp正常工作,并且客户端正在将广告用于dns。Winbind中的RID选项将为用户生成可预测的uid,为您的组生成gid。samba / winbind配置将允许您选择所有用户都将获得的外壳,我不确定是否可以配置为使单个用户具有不同的外壳,用户在登录时始终可以启动所需的任何外壳。可以通过sshd_config维护登录限制,该限制基于组。您必须从较早的计算机和Netapp开始,以查看所安装的samba / winbind版本是否支持后端RID选项。


1
欢迎来到服务器故障!我们确实更愿意答案包含内容而不是内容的指针。虽然从理论上讲这可以回答问题,但最好在此处包括答案的基本部分,并提供链接以供参考。
user9517 2012年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.