Em uma grande rede Linux, como você lidaria com autenticação e gerenciamento de usuários?

O equivalente mais próximo do Active Directory para Linux é o FreeIPA. O FreeIPA é feito pelo Redhat e fornece autenticação baseada em LDAP e Kerberos para uma rede Linux ...

FreeIPA is an integrated security information management solution combining Linux (Fedora), 389 Directory Server, MIT Kerberos, NTP, DNS, Dogtag (Certificate System). It consists of a web interface and command-line administration tools.

Tenha em mente que o FreeIPA é em grande parte apenas Redhat, e precisaria de um bom trabalho para começar a usar o Debian / Ubuntu / qualquer coisa ...

link

LDAP é um protocolo de aplicativo para acessar e manter serviços distribuídos de informações de diretório em uma rede IP (Internet Protocol).

Os serviços de diretório podem fornecer qualquer conjunto organizado de registros, geralmente com uma estrutura hierárquica, como um diretório de e-mail corporativo. Da mesma forma, uma lista telefônica é uma lista de assinantes com um endereço e um número de telefone.

Tenho visto grandes redes de mais de mil servidores Linux sem autenticação ou gerenciamento de usuários centralizados. Todos os servidores tinham apenas contas locais que precisavam ser mantidas individualmente.

Isso me faz estremecer. Algo como o Puppet provavelmente pode ajudar nesse departamento de sincronização de contas entre sistemas, mas não ajudará você a unir os hosts a um domínio do AD.

Não acredito que sua pergunta seja sobre um equivalente do Active Directory para Linux, como o FreeIPA. Eu acho que sua pergunta é sobre a integração de hosts Linux em um Microsoft Active Directory existente, de modo que suas máquinas Windows e máquinas Linux sejam todas misturadas lá no mesmo diretório.

Você já sabe, como você disse, que os hosts do Linux podem ser "remendados". Eu concordo com essa metáfora, como é um processo confuso na minha opinião.

Em seguida, também existem soluções profissionais, como o PowerBroker (anteriormente Likewise), que podem ser instaladas em seus hosts Linux e tornam a sua conexão a um domínio do AD muito mais confiável. Ele ainda incorpora alguns recursos de política de grupo.

Acho que você provavelmente verá algo assim em uma grande empresa que deseja unir suas máquinas Linux a um domínio do Windows.

Eu recomendaria OpenLDAP + Kerberos ( MIT ou Heimdal ). Envolve colocar suas mãos um pouco mais sujas do que você usaria um produto como o FreeIPA, mas, em termos de desempenho, você não pode superar o OpenLDAP.

Este link é muito antigo, mas destaca algumas das diferenças de desempenho entre o OpenLDAP e o 389 Directory server (incluído no FreeIPA):

Alguns Números: Diretório do Fedora Servidor vs OpenLDAP

Claro, tenho certeza de que ambos os produtos melhoraram desde então. Eu sei que os números do OpenLDAP são muito melhores, especialmente com o novo backend mapeado por memória mdb .

Se eu não estivesse em um ambiente particularmente seguro, usaria NIS . É leve, funciona em muitos Unices, lida bem com falhas de servidor (ou seja, desde que cada cliente seja configurado para usar vários servidores NIS ou possa encontrar vários servidores por difusão, é robusto contra a falha do servidor atualmente vinculado) e tem sido usado por anos (como em, lembro-me de configurar servidores NIS em 1991), então suas idiossincrasias são bem compreendidas.