linux – 追求真正的Active Directory集成

前端之家收集整理的这篇文章主要介绍了linux – 追求真正的Active Directory集成前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
在你笑我之前说:“如果你想要Active Directory,请使用 Windows”或者告诉我使用Google,请听我说.

我的公司非常依赖AD.不,我们现在已经和它结婚了,作为一家财富10强的公司,我没有改变.但是,我们的环境中有很多* nix系统(主要是RHEL和SLES),我还没有找到一种与Active Directory集成作为标识源的良好机制.至少,我需要提供以下内容

>通过AD凭证进行身份验证(让用户进门)
>授权一旦经过身份验证(授予用户访问系统区域的权限)
>审核(能够将用户操作与其AD凭据联系起来)
>支持AD组(不仅仅是vanilla LDAP,还必须在系统上添加/删除单个用户)
>不是基于AD信任的重复/镜像身份源(我不需要两个庞大的系统)

我发现的顶级解决方案如下:

> Centrify
> PowerBroker Open(PBIS Open,以前同样开放)
> SSSD SELinux

Centrify. . .只是丑陋.我从未成为真正的粉丝.此外,根据我公司的需要,我们不能使用Centrify-Express,因此它不是免费的,并且没有无限制的许可证.然而,这是我们发现的最佳解决方案,我迫切希望找到别的东西.

PBIS Open是我倾向于的.这是VMware在vShield后端使用的,它运行良好.它只需要几个命令来设置,它支持AD组,并且没有辅助身份管理系统 – 它直接与AD对话.我没有走那条路的唯一原因是我喜欢原生解决方案,如果有更好的方法可以做到这已经包含在现代发行版中了,我就是全力以赴.

SSSD SELinux听起来很棒.这是令人讨厌的设置,但它是灵活的,原生的,并由大多数现代发行版支持.它缺乏的唯一一点(据我所知)是对AD组的支持.许多文章建议利用FreeIPA或类似的东西来添加功能,但在进一步阅读时,这违反了要求5并且基本上创建了中间人身份服务.我对基本复制AD或建立对辅助身份服务的信任不感兴趣.

我抛出的其他kludge选项包括使用Puppet(我们使用)将/ etc / password,shadow,group文件推送到端点,但这需要开发,这是非常间接的,我可以看到一些东西严重.更好的选择是将SSSD SELinux添加到Puppet的想法中.虽然它会简化灾难,但它仍然是一场灾难.

我错过了什么,你在使用什么,以及为解决Linux AD集成问题而没有解决的“新热点”是什么?

解决方法

您的解决方案是FreeIPA或Centrify / PowerBroker. FreeIPA是您的标准RHEL订阅的一部分,因此已经有一些节省.

FreeIPA可以在所有用户和组都可以来自Active Directory的模式下运行.您只能将这些用户和组映射到FreeIPA中的POSIX特定环境,如SUDO规则,公共SSH密钥,基于主机的访问控制定义,SE Linux上下文分配等.为此,您需要将一些AD用户/组映射到FreeIPA中的某些组,但这不是信息的重复,而是使用非AD特定的部分对其进行修改.

FreeIPA实现与Active Directory兼容的方式是将自身呈现为与Active Directory兼容的森林.足以允许AD用户通过跨林信任使用FreeIPA资源,但不足以允许FreeIPA用户访问信任另一端的Windows系统.你似乎对第一部分感兴趣,所以这应该没问题.

FreeIPA 4.1已经是RHEL 7.1 beta的一部分(希望,RHEL 7.1将很快出版),我们有一个强大的机制来保持FreeIPA和SSSD中AD用户和组的覆盖能够发现所有这些每服务器粒度.

猜你在找的Linux相关文章