我试图find一种集中用户pipe理和身份validation的方式来集中大量的Windows和Linux服务器,包括networking设备(思科,惠普,瞻博networking)。 选项包括RADIUS / LDAP / TACACS / …想法是跟踪人员的变化,并访问这些设备。
最好是一个兼容Linux,Windows和这些networking设备的系统。 看起来像Windows是最顽固的,对于Linux和networking设备来说,实现一个解决scheme比较容易(例如使用PAM.D)。
我们应该寻找Windows的Active Directory /域控制器解决scheme吗? 有趣的旁注; 我们还pipe理通常已经在域中的客户端系统。 域控制器之间的信任关系并不总是我们的select(由于客户端的安全限制)。
我很乐意听到关于如何为这些系统实现这样一个集中authentication“门户”的新想法。
有一个这样的解决scheme。 这就是所谓的KerberosV5。 它可以满足您的所有需求,而且还有Windows,Linux,Unix和networking设备的良好支持。 看看它。
许多事情可以直接使用Kerberos对AD域进行身份validation。
如果启用AD服务器上的匿名绑定,则可以使用ldappipe理授权。
您也可以将AD服务器configuration为NIS服务器。 我正在做这件事,这似乎并不简单,但也似乎并不困难。 NIS + Kerberos巧妙地解决了可能没有直接使用pam_ldap模块的陈旧系统的问题。
最后,您可以使用AD服务器作为RADIUS服务器,它可以很好地解决“访问随机networking/ RAS设备”问题。
我主要是一个unix的人,在AD服务器上需要做很多configuration才能做到这一点,这让人感到沮丧,但是用AD获得的一站式购物是非常困难的。 微软这些年来可能有很多stinekers,但活动目录真是太棒了。
感谢Kerberos V5的答复,这绝对是有希望的。
Forefront Identity Manager(FIM)是微软自己的另一个工具,它可以在不将服务器放在域中的情况下进行身份识别pipe理。
http://www.microsoft.com/forefront/identitymanager/en/us/default.aspx
http://kbase.redhat.com/faq/docs/DOC-4735
http://kbase.redhat.com/faq/docs/DOC-3639
上面的Kbase文件有可能帮助的例子!
我很谨慎的发布一个商业工具的build议,但在这里我们去… FoxT的“BoKS访问控制”为您提供对Unix,Linux,VMWare和Windows系统的用户帐户和networking访问权限的细粒度控制。
不幸的是,它不支持networking设备。