我有一个约3-6个CentOS服务器的networking,约有5-10个用户(目前和不久的将来)。 我正在寻找一个集中pipe理用户的解决scheme。
我的要求是:
尝试了OpenLDAP,但对于我的小型networking来说似乎太复杂了。 然后,我已经安装了RedHat的IdM(= FreeIPA),这很容易安装,并且非常好pipe理。 这也是基于LDAP,所以我认为它会和其他玩家一起玩。
令人惊讶的是,似乎IdM / FreeIPA并没有很好地与Samba集成。 此外,似乎我错了,IdM / FreeIPA不公开其LDAP服务器的其他服务 – 他们必须被Kerberized,这使业务复杂…
所以,合理的解决scheme似乎回到了LDAP。 我对么?
但即使使用LDAP,我也不确定什么是正确的方法…
我甚至不知道我在问正确的问题:)
由于第3点,这有点棘手.IPA中的LDAP只是不可匿名使用,因此您需要对查询的应用程序进行kerberize或给它们一个通用帐户绑定。 我见过的大多数应用程序都支持这个
在samba wiki上:“请注意,您不能将Samba4指向您现有的OpenLDAP服务器,并希望能够正常工作。”
诚实地取决于要求3的具体细节这样一个小的环境,我build议你使用活动目录(即时通讯假设你已经)通过sssd和作为桑巴后端。 假设req 3支持,这是最简单和最可维护的解决scheme。
我会select一些基于LDAP的解决scheme来提供灵活性和广泛的支持,对于GNU / Linux世界来说,你最好的select就是OpenLdap。 在开始ldap世界是有点微不足道的,但是相当稳固。
你需要:
一个OpenLdap服务器,如果你需要一个高可用性的体系结构,安装了Samba模式,可能需要两个(以提供者 – 消费者的方式)
Samba服务器configuration为检索用户和组使用Openldap作为后端,并公开一些股份
Smbdlap工具从命令行pipe理(添加,编辑,删除)用户和组
一个简单的pipe理(添加,编辑,删除)用户和组的web gui,我build议fusiondirectory或替代本地ldap客户端
configuration和软件包,以便在pam和nss中为GNU linuxlogin启用ldap支持。
在这附近有一些相当不错的教程。
如果你不想从头开始构build所有的东西,你可能需要试试Univention Corporate Server(UCS)。 我为Univention工作,所以我很了解。 这是一个基于Debian的企业级操作系统,适用于异构环境下的域/身份pipe理。 还有一个免费的“核心版”,有你需要的所有function。
其中包括:
正如Andy指出的那样,您通常不希望在没有身份validation(匿名)的情况下公开您的LDAP目录。 在LDAP目录中创build特殊用户并在第三方应用程序中使用此用户在查询LDAP目录时进行身份validation是一种很好的做法。
在Redmine和Alfresco的Univention Wiki中甚至有文章: Cool Solution – 安装Redmine并设置ldapauthentication Cool Solution – Alfresco
有关Univention网站上UCS的更多信息。
希望我帮你,麻仁