在小型网络中使用linux多年之后,我开始在一家维护大型Windows网络的公司中工作。我知道您可以将Linux主机拼凑到Active Directory网络上,但是如果您不必处理Windows主机,是否有一种整洁的linux-y处理方式。纯粹是假设的。
在小型网络中使用linux多年之后,我开始在一家维护大型Windows网络的公司中工作。我知道您可以将Linux主机拼凑到Active Directory网络上,但是如果您不必处理Windows主机,是否有一种整洁的linux-y处理方式。纯粹是假设的。
Answers:
与Linux的Active Directory最接近的等效项是FreeIPA。FreeIPA由Redhat制作,向Linux网络提供基于LDAP和Kerberos的身份验证...
FreeIPA是一个集成了安全信息管理解决方案,结合了Linux(Fedora),389 Directory Server,MIT Kerberos,NTP,DNS,Dogtag(证书系统)。它由Web界面和命令行管理工具组成。
请记住,FreeIPA在很大程度上仅是Redhat,并且需要大量的工作才能在Debian / Ubuntu /任何版本上启动和运行。
LDAP是一种用于通过Internet协议(IP)网络访问和维护分布式目录信息服务的应用协议。
目录服务可以提供任何组织的记录集,通常具有层次结构,例如公司电子邮件目录。同样,电话簿是带有地址和电话号码的订户列表。
我见过由超过一千台Linux服务器组成的大型网络,没有集中的用户身份验证或管理。每台服务器都只有本地帐户,所有本地帐户都必须单独维护。
那让我畏缩。像Puppet这样的东西可能可以在跨系统同步帐户的部门中提供帮助,但是它无法帮助您将主机加入AD域。
我不认为您的问题与Linux上的Active Directory等效,例如FreeIPA。我认为您的问题是关于将Linux主机集成到现有的Microsoft Active Directory中,以便将Windows计算机和Linux计算机全部混合在同一目录中。
正如您所说,您已经知道可以将Linux主机“拼凑在那里”。我同意这个比喻,因为我认为这是一个混乱的过程。
然后,还存在可以在Linux主机上安装的专业解决方案,例如PowerBroker(以前类似),从而使它们更可靠地连接到AD域。它甚至合并了一些组策略功能。
我想在一家大型企业想要将其Linux机器加入Windows域的情况下,您可能会看到类似的情况。
我建议使用OpenLDAP + Kerberos(MIT或Heimdal)。与使用FreeIPA之类的产品相比,它需要使您的手更脏一点,但是在性能方面,您无法击败OpenLDAP。
该链接确实很旧,但是它突出了OpenLDAP和389 Directory服务器(包含在FreeIPA中)之间的一些性能差异:
当然,我敢肯定,自那时以来,这两种产品都得到了改进。我知道OpenLDAP的数字要好得多,尤其是使用新的mdb内存映射后端。