在小型networking中使用Linux多年之后,我开始在一家维护大型Windowsnetworking的公司中工作。 我知道你可以将一个linux主机拼凑到一个Active Directorynetworking上,但是如果你不必处理Windows主机的话,是否有一个整洁的linux-y方法来处理它。 纯粹是假设的。
与Active Directory for Linux最接近的是FreeIPA。 FreeIPA由Redhat制作,为Linuxnetworking提供基于LDAP和Kerberos的身份validation…
FreeIPA是一个集Linux(Fedora),389 Directory Server,MIT Kerberos,NTP,DNS,Dogtag(证书系统)于一体的综合安全信息pipe理解决scheme。 它由一个Web界面和命令行pipe理工具组成。
请记住,FreeIPA在很大程度上只是Redhat,并且需要一些工作才能在Debian / Ubuntu /上运行起来…
LDAP是通过Internet协议(IP)networking访问和维护分布式目录信息服务的应用程序协议。
目录服务可以提供任何有组织的logging集,通常具有分层结构,例如公司电子邮件目录。 类似地,电话号码簿是具有地址和电话号码的用户列表。
我看到有超过一千个Linux服务器的大型networking,没有集中的用户authentication或pipe理。 每台服务器只有本地帐户,都必须单独维护。
这让我感到害怕。 像Puppet这样的东西可能可以帮助跨系统同步帐户的部门,但它不会帮助你join主机到AD域。
我不相信你的问题是关于与Linux相当的Active Directory,比如FreeIPA。 我认为你的问题是将Linux主机集成到现有的Microsoft Active Directory中,这样你的Windows机器和Linux机器就可以在同一个目录中混合在一起了。
正如你所说,你已经知道,Linux主机可以在那里“拼凑”。 我同意这个比喻,因为在我看来这是一个混乱的过程。
然后,还有一些专业的解决scheme,比如PowerBroker(以前也是这样),它可以安装在你的Linux主机上,并使它们更加可靠地joinAD域。 它甚至包含了一些组策略function。
我想你可能会在想要将其Linux机器joinWindows域的大型企业中看到类似的情况。
我会推荐OpenLDAP + Kerberos( MIT或Heimdal )。 这涉及到让你的手比使用FreeIPA这样的产品稍微脏兮兮的,但是在性能方面,你无法打败OpenLDAP。
这个链接真的很旧,但它强调了OpenLDAP和389目录服务器(包含在FreeIPA中)之间的一些性能差异:
一些编号:Fedora Directory Server与OpenLDAP
当然,我确信自那时以来两款产品都有所改进。 我知道OpenLDAP的数字好多了,尤其是新的mdb内存映射后端 。
如果我不是在一个特别注重安全的环境中,我会使用NIS 。 它是轻量级的,适用于许多Unices,可以很好地处理服务器故障(也就是说,如果每个客户端都configuration为使用多个NIS服务器,或者可以通过广播查找多个服务器,则可以防止当前服务器发生故障)已经使用了很多年了 (因为我记得在1991年configuration了NIS服务器),所以它的特性非常好理解。