2014年,有关针对Linux服务器和现代 Windows Server操作系统(以CentOS / RHEL为重点)的Active Directory身份验证/集成的常识是什么?
自从2004年我首次尝试进行整合以来,多年来,似乎最佳实践已经发生了变化。我不太确定哪种方法目前最有效。
在现场,我已经看到:
对Winbind / Samba的
直线上升 LDAP
有时LDAP + Kerberos的
Microsoft Windows服务的Unix(SFU)
Microsoft身份的Unix管理
NSLCD
SSSD
FreeIPA
Centrify公司
执牛耳(姓同样)
温宾德总是看上去很糟糕而且不可靠。像Centrify和Samelike这样的商业解决方案始终可以工作,但似乎没有必要,因为此功能已被移植到OS中。
我完成的最后几个安装将Microsoft Unix身份管理角色功能添加到Windows 2008 R2服务器和Linux端的NSLCD(用于RHEL5)上。在RHEL6之前一直有效,直到RHEL6为止,由于缺少NSLCD的维护和内存资源管理问题,因此不得不更改SSSD。Red Hat似乎也支持SSSD的方法,所以我可以使用。
我正在使用域控制器为Windows 2008 R2 Core系统的新安装,并且无法添加Unix身份管理角色功能。有人告诉我Windows Server 2012 R2中不再提供此功能。
安装此角色的好处是该GUI的存在,同时允许轻松地一步管理用户属性。
但...
不推荐使用远程服务器管理工具(RSAT)的“服务器用于网络信息服务(NIS)工具”选项。使用本机LDAP,Samba客户端,Kerberos或非Microsoft选项。
如果它可能破坏前向兼容性,那么就很难依靠它了。客户想使用Winbind,但是我从Red Hat看到的所有内容都指向SSSD的使用。
什么是正确的方法?
在您的环境中如何处理?