我所在的公司正在着手用LDAP取代目前本地开发的NIS / YP结构。
我们已经有了Windows内部的AD,并且想要考虑使用AD系统。 AD人是相当有限制的,不会支持广泛的修改。
我们需要replace包括支持NIS / YP套件的全部function,包括networking组,对特定用户或用户组的特定服务器的login限制,* nix和Windows环境之间的一致密码等。 我们的环境是Linux(suse,RH,Debian),Sun,IBM,HP和MPRAS以及NETAPP的混合体。 所以我们所使用的东西必须完全包容各种环境。
我们也看过类似的情况,但是我们的pipe理层想要与其他方法进行比较。
我还应该看什么其他的东西,你对这个select有什么评价?
谢谢
微软曾经有一个名为Services For Unix的东西(它仍然在名称中:现在是“基于UNIX的应用程序(SUA)的子系统”) – 它包括的function之一是AD到NIS网关,允许您可以创build一个实际上隶属于AD域的NIS域。
这可能是你的阻力最小的path,因为你的unix环境是异构的 – 任何了解NIS的人都会理解MS NIS服务器,因为就你的Unix系统而言,它只是一个普通的旧式NIS服务器。
另一个select是pam_ldapd(或pam_ldap + nss_ldap) – 这将直接查询您的AD服务器并摆脱NIS的一些限制,但是我不知道networking组支持有多好pam_ldap + nss_ldap在FreeBSD上没有工作网组支持)。
你可以尝试从红帽伙计freeipa( http://freeipa.org )。 这是为了取代nis / yp,它给你一个kerberized的环境作为奖金。 当然,你可以只用pam_ldap来插入客户端,但是你会失去单点login。
顺便说一下,您还可以将用户与AD同步。
鉴于你已经有内部AD,我build议考虑设置为活动目录的受信任域的freeipa / Redhat IDM。 除了免费,这允许您在AD中使用所有现有的用户和组信息,同时在ipa中设置访问控制和策略。
你也可以得到Kerberos&Sso的潜力。 在此设置中,Ipa将广告组作为networking组(例如nis)。
它带有一个很好的web gui和基于内部angular色的访问控制(例如,谁可以将主机joinKerberos领域,谁可以pipe理sudo等)。
任何客户端都应该能够对ipa或AD进行身份validation。
QAS(无论是版本)在我看来是一个理想的解决scheme,除了可能是疯狂的成本。 它也需要模式更改为广告,这本身就是好的,但你的广告人可能不会那样。
较新版本的winbind比3.x更稳定,但要求您在每台主机上configuration访问策略(sudo,ssh)。
我不能说中心化。
我一直在使用VAS(现在命名为Quest)和Centrify的环境。 我没有维护任何系统,我只是一个用户。 所以,我不能帮你决定,但那些是其他的名字。
从我所看到的,两者都工作,都符合你的列出的要求,虽然总是有一些打嗝。
Winbind特别适用于RID选项。 使用AD服务器作为UNIX机箱的NTP服务器,它使事情变得简单一点,并且工作正常。 然后让Kerberos和AD一起工作,这很简单,只要确保ntp正在工作,客户正在使用dns的广告。 winbind中的RID选项会为用户和gid提供一个可预测的uid。 samba / winbindconfiguration会让你select一个所有用户都可以得到的shell,我不知道你是否可以configuration让每个用户拥有不同的shell,用户可以在login时随时启动任何shell。 login限制可以通过sshd_config进行维护,基于组进行限制。 你将不得不从早期的机器和Netapp开始,看看你安装的samba / winbind版本是否支持后端的RID选项。