关于Linux服务器的Active Directory身份验证的常识？

2014年，有关针对Linux服务器和现代 Windows Server操作系统（以CentOS / RHEL为重点）的Active Directory身份验证/集成的常识是什么？

自从2004年我首次尝试进行整合以来，多年来，似乎最佳实践已经发生了变化。我不太确定哪种方法目前最有效。

在现场，我已经看到：

对Winbind / Samba的
直线上升 LDAP
有时LDAP + Kerberos的
Microsoft Windows服务的Unix（SFU）
Microsoft身份的Unix管理
NSLCD
SSSD
FreeIPA
Centrify公司
执牛耳（姓同样）

温宾德总是看上去很糟糕而且不可靠。像Centrify和Samelike这样的商业解决方案始终可以工作，但似乎没有必要，因为此功能已被移植到OS中。

我完成的最后几个安装将Microsoft Unix身份管理角色功能添加到Windows 2008 R2服务器和Linux端的NSLCD（用于RHEL5）上。在RHEL6之前一直有效，直到RHEL6为止，由于缺少NSLCD的维护和内存资源管理问题，因此不得不更改SSSD。Red Hat似乎也支持SSSD的方法，所以我可以使用。

我正在使用域控制器为Windows 2008 R2 Core系统的新安装，并且无法添加Unix身份管理角色功能。有人告诉我Windows Server 2012 R2中不再提供此功能。

安装此角色的好处是该GUI的存在，同时允许轻松地一步管理用户属性。

但...

不推荐使用远程服务器管理工​​具（RSAT）的“服务器用于网络信息服务（NIS）工具”选项。使用本机LDAP，Samba客户端，Kerberos或非Microsoft选项。

如果它可能破坏前向兼容性，那么就很难依靠它了。客户想使用Winbind，但是我从Red Hat看到的所有内容都指向SSSD的使用。

什么是正确的方法？
在您的环境中如何处理？

2014年3月，Red Hat发布了将Red Hat Enterprise Server与Active Directory集成的参考架构。（当然，这些材料应该是最新且相关的。）我讨厌将其发布为答案，但实际上转移到答案字段的材料太多了。

该文档（已更正）在媒体上广受欢迎，似乎集中在Red Hat Enterprise Linux（RHEL）7的新功能上。该文档已于上周发布给Summit。

如果此链接过时，请告诉我，我将相应地更新答案。

我个人已经相当可靠地使用WinBind进行身份验证。很少有服务失败，这要求具有root或其他本地帐户的人进入并跳出winbindd。如果您愿意全力以赴，则可以通过适当的监视来解决此问题。

值得注意的是，Centrify确实具有其他功能，尽管可以通过单独的配置管理来提供。（人偶等）

编辑6/16/14：

红帽企业Linux 7 Windows集成指南

回复：“像Centrify和Likes这样的商业解决方案一直可以使用，但是似乎没有必要，因为此功能已被移植到OS中。”

好吧，我想我们大多数人已经听到多年，XYZ操作系统终于破解了AD集成难题。恕我直言，问题是对于OS供应商，AD集成是一个复选框功能，即，他们需要提供某种可以使该复选框有效的功能，而该复选框通常仅适用于...

1. 他们的操作系统平台和
2. 该平台的当前版本，以及
3. 针对最新版本的Active Directory。

现实情况是，就OS供应商和OS版本而言，大多数环境都不是单一的，并且将具有AD的较旧版本。这就是为什么像Centrify这样的供应商必须支持450多种UNIX / Linux / Mac / etc版本的原因。Windows 2000升级到Windows 2012 R2，而不仅仅是RHEL 7和Windows 2012 R2。

此外，您需要考虑AD的部署方式，操作系统供应商的AD集成也应支持只读域控制器（RODC），单向信任关系，提供多林支持等。现有的UID空间（您将要使用），是否有用于将UID迁移到AD的迁移工具。操作系统供应商的广告支持是否解决了在UID空间不平坦的情况下将多个UID映射到单个AD的能力。那...那么你就知道了。

然后是支持的问题...

重点是，AD集成从概念上看似乎很容易，并且可以与供应商的最新操作系统“免费”一起使用，并且如果您只有一个供应商提供的一个版本的OS且具有最新版本的原始AD，则可能可以工作。与OS供应商的高级支持合同，该供应商将尽力解决可能出现的任何问题。否则，您可能需要考虑专门的第三方解决方案。

不推荐使用远程服务器管理工​​具（RSAT）的“服务器用于网络信息服务（NIS）工具”选项。

这不足为奇-NIS证明Sun讨厌我们，并希望我们变得痛苦。

使用本机LDAP，Samba客户端，Kerberos或非Microsoft选项。

这是很好的建议。给出选择之后，我会说“使用本机LDAP（请通过SSL，请使用）”-有很多可用的选项，我最熟悉的两个是pam_ldap + nss_ldap（来自PADL），或者是组合的nss-pam- ldapd（起源于fork，并且已经进行了不断的开发和增强）。

由于您是专门询问RedHat的，因此值得注意的是RedHat还提供了其他使用SSSD的替代产品。
如果您的环境是全RedHat（或仅具有大量RedHat系统），那么查看受官方支持的“ RedHat做事方式”肯定值得您花时间。

由于我自己没有使用RedHat / SSSD的经验，因此我只看文档，但是它看起来相当健壮且设计合理。

在建议的方法中，让我给您一个优点/缺点列表：

整理Kerberos / LDAP

优点：正确配置后效果很好。很少有休息，富有弹性，可以在网络故障中幸存下来。AD中无需更改，无需架构更改，也无需管理员访问AD。自由。

缺点：相对难以配置。需要更改多个文件。如果身份验证服务器（Kerberos / LDAP）不可用，将无法使用。

温宾德

优点：易于配置。基本的sudo功能。自由。

缺点：支持密集。没有网络弹性。如果出现网络问题，Linux机器可能会退出广告，需要重新注册服务器，这是一项支持任务。需要访问AD的管理员帐户。可能需要在AD中进行架构更改。

集中/类似

优点：相对容易配置。

缺点：将sudo功能更改为专有，更难支持。每台服务器的许可成本。需要其他技能来管理。

固态硬盘

优点：一个配置文件，易于配置。适用于所有现在和将来的身份验证方法。可扩展，随系统增长。将在断开连接模式下工作。网络弹性强。无需对AD模式进行任何更改。无需AD管理员凭据。免费，受支持。

缺点：没有自动更新DNS等获胜服务。需要配置CIFS共享。

摘要

从优缺点看，SSSD无疑是赢家。如果是新系统，则除了SSSD之外，没有其他原因。它是一个集成器，可以与所有当前的身份验证方法一起使用，并且可以与系统一起发展，因为可以在可用时添加新方法。它使用本地linux方法，并且更加可靠和快速。如果打开了缓存，则即使在完全断开连接且系统完全出现网络故障的系统中，系统也可以正常工作。

如果要更改的工作量过多，则Winbind可用于现有系统。

Centrify的集成存在问题，可能会增加成本。大多数错误已在新版本中修复，但仍有一些错误令人头痛。

我已经使用了所有这些方法，SSSD无疑是赢家。即使对于较旧的系统，从Winbind转换为SSSD的投资回报率也很高。除非有特定原因不使用SSSD，否则请始终使用SSSD。

必须对此发表评论：

值得注意的是，Centrify确实具有其他功能，尽管可以通过单独的配置管理来提供。（人偶等）

作为与Centrify合作的人，不确定该评论来自何处。看看这个，你可以看到，有特色，你不要用组态管理工具ALA木偶得到一大堆。例如，支持将多个UID映射到一个AD帐户（区域），支持完全的Active Directory域信任（Red Hat解决方案在第3页上提供了它不支持的信任），等等。

但是回到这个红帽指南。Red Hat发布此文章真是太好了，选项也不错。请注意，它为客户提供了10种进行基本AD集成的选项。大多数选项都是Winbind的变体，第15页列出了每种方法的优缺点，并且每种方法都需要大量手动步骤（上述各有相应的缺点/功能不足）。Centrify Express的优势在于，根据以上其他评论，其优点是：

1. 无需所有手动步骤即可安装，而且...
2. 是免费的...
3. 不限于Red Hat V7，这很重要，因为问题与Linux有关，而不仅仅是一个变体-Centrify支持300多种* nix和...
4. 支持Windows AD的所有变体，而不仅仅是Windows2008。他们在此处发布了Centrify与Winbind的比较，但它不是开源的。

最后，它归结为您要自己滚动还是要使用商业解决方案。真正的问题是您在哪里以及如何度过时间。