关于Linux服务器的Active Directory身份验证的常识?


31

2014年,有关针对Linux服务器和现代 Windows Server操作系统(以CentOS / RHEL为重点)的Active Directory身份验证/集成的常识是什么?

自从2004年我首次尝试进行整合以来,多年来,似乎最佳实践已经发生了变化。我不太确定哪种方法目前最有效。

在现场,我已经看到:

对Winbind / Samba的
直线上升 LDAP
有时LDAP + Kerberos的
Microsoft Windows服务的Unix(SFU)
Microsoft身份的Unix管理
NSLCD
SSSD
FreeIPA
Centrify公司
执牛耳(姓同样

温宾德总是看上去很糟糕而且不可靠。像Centrify和Samelike这样的商业解决方案始终可以工作,但似乎没有必要,因为此功能已被移植到OS中。

我完成的最后几个安装将Microsoft Unix身份管理角色功能添加到Windows 2008 R2服务器和Linux端的NSLCD(用于RHEL5)上。在RHEL6之前一直有效,直到RHEL6为止,由于缺少NSLCD的维护和内存资源管理问题,因此不得不更改SSSD。Red Hat似乎也支持SSSD的方法,所以我可以使用。

我正在使用域控制器为Windows 2008 R2 Core系统的新安装,并且无法添加Unix身份管理角色功能。有人告诉我Windows Server 2012 R2中不再提供此功能。

安装此角色的好处是该GUI的存在,同时允许轻松地一步管理用户属性。

但...

不推荐使用远程服务器管理工​​具(RSAT)的“服务器用于网络信息服务(NIS)工具”选项。使用本机LDAP,Samba客户端,Kerberos或非Microsoft选项。

如果它可能破坏前向兼容性,那么就很难依靠它了。客户想使用Winbind,但是我从Red Hat看到的所有内容都指向SSSD的使用。

什么是正确的方法?
您的环境中如何处理?


1
据我了解,RHEL 7将有两种正确的实现方法:一种是通过FreeIPA并具有对AD的跨域信任,另一种是通过realmd并通过AD通过AD实现的(我没有时间这样做)。现在看)。无论哪种方式,您都将有一种受支持的方式,可以从kickstart直接将系统加入域。
迈克尔·汉普顿

1
我们将Centrify用于Solaris和RHEL。安装起来非常简单,说实话,使用它的问题/投诉为零。
colealtdelete 2014年

2
该指南刚刚于上个月发布。因此,它包含相关/当前信息。
亚伦·科普利2014年

1
@AaronCopley欢迎您发布该答案。我以前没有看过本指南。
ewwhite

Answers:


19

2014年3月,Red Hat发布了将Red Hat Enterprise Server与Active Directory集成的参考架构。(当然,这些材料应该是最新且相关的。)我讨厌将其发布为答案,但实际上转移到答案字段的材料太多了。

该文档(已更正)在媒体上广受欢迎,似乎集中在Red Hat Enterprise Linux(RHEL)7的新功能上。该文档已于上周发布给Summit。

如果此链接过时,请告诉我,我将相应地更新答案。

我个人已经相当可靠地使用WinBind进行身份验证。很少有服务失败,这要求具有root或其他本地帐户的人进入并跳出winbindd。如果您愿意全力以赴,则可以通过适当的监视来解决此问题。

值得注意的是,Centrify确实具有其他功能,尽管可以通过单独的配置管理来提供。(人偶等)

编辑6/16/14:

红帽企业Linux 7 Windows集成指南


“此文档”链接似乎无效。
Yolo Perdiem 2014年

你确定吗?我只是清除了历史记录/缓存,然后重试。然后我什至在另一个浏览器中确认。还有其他人遇到麻烦吗?该文件从此页面链接到RHEL 7的Road下,互操作性更新:Red Hat Enterprise Linux 7 beta和Microsoft Windows 编辑:我看到现在发布了一个“最终”版本,但是旧链接仍然对我有用吗?无论如何更新答案。
亚伦·科普利2014年

我没有任何麻烦。我阅读了文档,甚至将其与自己的工作进行了比较。一些不一致之处。最大的问题:没有提到Windows Server 2012 :(因此,我仍然对此表示意见
。– ewwhite

抱歉,我对Windows方面了解不足,不知道2012年对2008年会有什么影响。 。)
亚伦·科普利

@AaronCopley角色提供了一个管理GUI,以按用户启用Unix属性
ewwhite

10

回复:“像Centrify和Likes这样的商业解决方案一直可以使用,但是似乎没有必要,因为此功能已被移植到OS中。”

好吧,我想我们大多数人已经听到多年,XYZ操作系统终于破解了AD集成难题。恕我直言,问题是对于OS供应商,AD集成是一个复选框功能,即,他们需要提供某种可以使该复选框有效的功能,而该复选框通常仅适用于...

  1. 他们的操作系统平台和
  2. 该平台的当前版本,以及
  3. 针对最新版本的Active Directory。

现实情况是,就OS供应商和OS版本而言,大多数环境都不是单一的,并且将具有AD的较旧版本。这就是为什么像Centrify这样的供应商必须支持450多种UNIX / Linux / Mac / etc版本的原因。Windows 2000升级到Windows 2012 R2,而不仅仅是RHEL 7和Windows 2012 R2。

此外,您需要考虑AD的部署方式,操作系统供应商的AD集成也应支持只读域控制器(RODC),单向信任关系,提供多林支持等。现有的UID空间(您将要使用),是否有用于将UID迁移到AD的迁移工具。操作系统供应商的广告支持是否解决了在UID空间不平坦的情况下将多个UID映射到单个AD的能力。那...那么你就知道了。

然后是支持的问题...

重点是,AD集成从概念上看似乎很容易,并且可以与供应商的最新操作系统“免费”一起使用,并且如果您只有一个供应商提供的一个版本的OS且具有最新版本的原始AD,则可能可以工作。与OS供应商的高级支持合同,该供应商将尽力解决可能出现的任何问题。否则,您可能需要考虑专门的第三方解决方案。


为此+1;我的一般经验是“他们说它有用,但它从来都不干净”。
Maximus Minimus

+无穷大。如果您只需要基本身份验证支持,Centrify甚至可以免费获得其Express版本。
Ryan Bolger

8

不推荐使用远程服务器管理工​​具(RSAT)的“服务器用于网络信息服务(NIS)工具”选项。

这不足为奇-NIS证明Sun讨厌我们,并希望我们变得痛苦。

使用本机LDAP,Samba客户端,Kerberos或非Microsoft选项。

这是很好的建议。给出选择之后,我会说“使用本机LDAP(请通过SSL,请使用)”-有很多可用的选项,我最熟悉的两个是pam_ldap + nss_ldap(来自PADL),或者是组合的nss-pam- ldapd(起源于fork,并且已经进行了不断的开发和增强)。


由于您是专门询问RedHat的,因此值得注意的是RedHat还提供了其他使用SSSD的替代产品
如果您的环境是全RedHat(或仅具有大量RedHat系统),那么查看受官方支持的“ RedHat做事方式”肯定值得您花时间。

由于我自己没有使用RedHat / SSSD的经验,因此我只看文档,但是它看起来相当健壮且设计合理。


6

在建议的方法中,让我给您一个优点/缺点列表:

整理Kerberos / LDAP

优点:正确配置后效果很好。很少有休息,富有弹性,可以在网络故障中幸存下来。AD中无需更改,无需架构更改,也无需管理员访问AD。自由。

缺点:相对难以配置。需要更改多个文件。如果身份验证服务器(Kerberos / LDAP)不可用,将无法使用。

温宾德

优点:易于配置。基本的sudo功能。自由。

缺点:支持密集。没有网络弹性。如果出现网络问题,Linux机器可能会退出广告,需要重新注册服务器,这是一项支持任务。需要访问AD的管理员帐户。可能需要在AD中进行架构更改。

集中/类似

优点:相对容易配置。

缺点:将sudo功能更改为专有,更难支持。每台服务器的许可成本。需要其他技能来管理。

固态硬盘

优点:一个配置文件,易于配置。适用于所有现在和将来的身份验证方法。可扩展,随系统增长。将在断开连接模式下工作。网络弹性强。无需对AD模式进行任何更改。无需AD管理员凭据。免费,受支持。

缺点:没有自动更新DNS等获胜服务。需要配置CIFS共享。

摘要

从优缺点看,SSSD无疑是赢家。如果是新系统,则除了SSSD之外,没有其他原因。它是一个集成器,可以与所有当前的身份验证方法一起使用,并且可以与系统一起发展,因为可以在可用时添加新方法。它使用本地linux方法,并且更加可靠和快速。如果打开了缓存,则即使在完全断开连接且系统完全出现网络故障的系统中,系统也可以正常工作。

如果要更改的工作量过多,则Winbind可用于现有系统。

Centrify的集成存在问题,可能会增加成本。大多数错误已在新版本中修复,但仍有一些错误令人头痛。

我已经使用了所有这些方法,SSSD无疑是赢家。即使对于较旧的系统,从Winbind转换为SSSD的投资回报率也很高。除非有特定原因不使用SSSD,否则请始终使用SSSD。



5

必须对此发表评论:

值得注意的是,Centrify确实具有其他功能,尽管可以通过单独的配置管理来提供。(人偶等)

作为与Centrify合作的人,不确定该评论来自何处。看看这个,你可以看到,有特色,你不要用组态管理工具ALA木偶得到一大堆。例如,支持将多个UID映射到一个AD帐户(区域),支持完全的Active Directory域信任(Red Hat解决方案在第3页上提供了它不支持的信任),等等。

但是回到这个红帽指南。Red Hat发布此文章真是太好了,选项也不错。请注意,它为客户提供了10种进行基本AD集成的选项。大多数选项都是Winbind的变体,第15页列出了每种方法的优缺点,并且每种方法都需要大量手动步骤(上述各有相应的缺点/功能不足)。Centrify Express的优势在于,根据以上其他评论,其优点是:

  1. 无需所有手动步骤即可安装,而且...
  2. 是免费的...
  3. 不限于Red Hat V7,这很重要,因为问题与Linux有关,而不仅仅是一个变体-Centrify支持300多种* nix和...
  4. 支持Windows AD的所有变体,而不仅仅是Windows2008。他们在此处发布了Centrify与Winbind的比较,但它不是开源的。

最后,它归结为您要自己滚动还是要使用商业解决方案。真正的问题是您在哪里以及如何度过时间。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.