服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 追求真正的Active Directory集成
Intereting Posts
那么你真的可以把SATA2磁盘插入SAS背板吗? 一个SSL证书两个IIS6网站的一个域 Nameserverconfiguration:本地或外部IP 由于某些ssl错误,新服务器无法从Puppetmaster获取configuration iptables的dnat映射到特定的ip Exchange服务器授权问题:什么是存储组? 我在哪里可以find一个支持VPN的便宜的VoIP网关? 在Ubuntu上停止和启动Apache的命令和path 数据库服务器找不到300GB 为电子邮件转发添加MXlogging与sendgrid等电子邮件提供商发生冲突 SSH / Git:使用主机名而不是IP来指定path IIS 7.5频繁出现问题没有很好的理由 在日志文件中重复“^ @”符号是什么意思? 如何恢复本地GPO用户login/注销脚本设置? 如何设置SSH隧道转发ssh?

追求真正的Active Directory集成

在你嘲笑我之前说:“如果你想要Active Directory,使用Windows”或告诉我使用Google,请听我说。

我的公司非常依赖广告。 不,我们现在已经结婚了,作为财富10强公司,这并没有改变。 但是,在我们的环境中(主要是RHEL和SLES),我们有很多* nix系统,而且我还没有find一个与Active Directory集成作为标识源的好机制。 至less,我需要提供以下内容:

  1. 通过AD证书进行身份validation(让用户进入)
  2. 授权一旦通过validation(授予用户对系统区域的访问权限)
  3. 审计(能够将用户操作绑定回他们的AD证书)
  4. 支持AD组(不仅仅是vanilla LDAP,而且需要在系统上添加/删除单个用户)
  5. 不是基于AD信任的重复/镜像身份来源(我不需要两个庞大的系统)

我find的顶级解决scheme如下:

  1. Centrify公司
  2. PowerBroker公开(PBIS公开,以前同样公开)
  3. SSSD + SELinux的

Centrify。 。 。 只是丑陋的 我从来没有真正的粉丝。 另外,为了我公司的需要,我们不能使用Centrify-Express,所以它不是免费的,没有无限的许可证。 然而,这是我们find的最好的解决scheme,而且我正在拼命寻找其他的东西。

PBIS公开是我所倾向的。 这是VMware在vShield后端使用的,它工作得很好。 它只需要一些命令来build立,它支持AD组,并且没有二级身份pipe理系统 – 它直接与AD通信。 我不走这条路的唯一原因是我喜欢原生解决scheme,如果有更好的方法来做到这一点,已经包含在现代发行版中,我完全赞成。

SSSD + SELinux听起来不错。 设置起来很糟糕,但它灵活,原生,并且得到大多数现代发行版的支持。 它所缺乏的唯一东西(据我所知)是对AD组的支持。 许多文章都build议利用FreeIPA或类似的东西来增加这个function,但经过进一步阅读,这违反了要求5,基本上创build了一个中间人身份服务。 我对基本上不重复AD或build立对二级身份服务的信任感兴趣不大。

其他我所讨论的kludge选项包括使用Puppet(我们使用)将/ etc / password,shadow,group文件推送到端点,但是这需要开发,这是非常间接的,而且我可以看到一些糟糕的东西。 更好的select是将SSSD + SELinux添加到Puppet的想法。 虽然这将简化灾难,但仍然是一场灾难。

我错过了什么,你在使用什么,以及我没有解决Linux AD集成头痛的“新热点”是什么?

您的解决scheme是FreeIPA或Centrify / PowerBroker。 FreeIPA是您的标准RHEL订阅的一部分,所以已经有一些节省。

FreeIPA可以在所有用户和组都来自Active Directory的模式下运行。 您只能将这些用户和组映射到FreeIPA中的POSIX特定环境,如SUDO规则,公共SSH密钥,基于主机的访问控制定义,SE Linux上下文分配等。 为此,您需要将您的一些AD用户/组映射到FreeIPA中的某些组,但这不是信息的重复,而是使用非特定于AD的部分对其进行修改。

FreeIPA实现与Active Directory的兼容性的方式是将其自身呈现为兼容Active Directory的林。 允许AD用户通过跨森林信任来使用FreeIPA资源就足够了,但不足以允许FreeIPA用户访问信任另一端的Windows系统。 你似乎对第一部分感兴趣,所以这应该是罚款。

随着FreeIPA 4.1已经成为RHEL 7.1 beta的一部分(希望RHEL 7.1很快就会出来),我们有一个强大的机制来保持FreeIPA中AD用户和组的覆盖,SSSD能够发现所有这些按服务器粒度。

在谈到SSSD时,我真的很想听听“真正的AD组织”的意思。 如果使用AD提供程序,SSSD的较新版本不要求组拥有POSIX属性,并且大多数读取来自TokenGroups的组成员资格。

而且,在RHEL-7.1(上行1.12+)中,SSSD获得了使用GPO策略进行访问控制检查的能力。

如果您有任何具体问题,请随时来写信给sssd-users列表。

Redhat产品在这里覆盖得很好:
关于Linux服务器Active Directoryauthentication的常识?

在我最近的安装中,这是通过SSSD(内置)和ldap或sssd.conf组filter完成的。

您的Linux用户在系统上需要什么?

我使用PBIS的开源版本。 在版本6中,我发现如果我没有login到一台机器(如几个月),当我login时,它会超时。 至less很多机器都是这样。 版本8我没有这个问题。

我发现PBIS够好了。 它允许我设置我关心的选项(默认主目录,假设login域,设置访问组等)。

我从来没有尝试过别的东西 但是我可以说我对PBIS很满意。

有一个Puppet模块来安装它(我的版本: https : //github.com/etlweather/puppet-pbis )。

winbind + samba + kerberos呢?

  • 通过AD证书进行身份validation(让用户进入)

检查

  • 授权一旦通过validation(授予用户对系统区域的访问权限)

检查

  • 审计(能够将用户操作绑定回他们的AD证书)

在/ var /日志/安全吗? 检查

  • 支持AD组(不仅仅是vanilla LDAP,而且需要在系统上添加/删除单个用户)

它允许在本地组中的广告组或广告用户进行检查

  • 不是基于AD信任的重复/镜像身份来源(我不需要两个庞大的系统)

自由派不是必需的,检查

我使用Winbind + Kerberose以及多年来工作正常,但现在我正在迁移到Pbis,因为我已经在一些机器上使用它多年,以及我很满意。 但正如你我喜欢有本地解决scheme,那么我将开始testing从RedHat本文档中提到的sssd集成。 https://www.redhat.com/en/files/resources/en-rhel-intergrating-rhel-6-active-directory.pdf

它具有不同的AD集成scheme。