Autenticação Centralizada - Recomendações?

7

Eu tenho um desafio apresentado antes de mim, e isso é centralizar a autenticação. Período.

Isso porque eu e minha boca grande dissemos que eu gosto de LDAP, e qualquer coisa pode ser autenticada contra ele. Eu tenho praticamente todo tipo de desktop aqui, Macs, Windows XP até 7, e número de instalações de distribuição baseadas no Ubuntu e no Fedora.

Não tenho problema em passar por todo o trabalho de configuração. Na verdade, isso deve ser muito divertido, eu só quero algumas recomendações sobre quais implementações eu deveria estar olhando.

Obrigado

    
por Mister IT Guru 24.06.2011 / 12:31

2 respostas

7

Nativamente, uma máquina do Windows só pode autenticar em um domínio do AD em que está (ou em um domínio em que confia no domínio em que está.) Você pode encontrar GINAs de substituição, acredito que exista um para simples 'LDAP.

No entanto, assim que você tiver um domínio do AD, também terá o Kerberos e o LDAP como parte do acordo. Você pode autenticar o OS X em relação ao AD e pode usar o PAM para autenticar as máquinas Linux em relação à parte LDAP do AD.

    
por 24.06.2011 / 12:49
2

Eu colocaria todas as máquinas Windows em um domínio, o que torna a autenticação centralizada muito simples para elas.

Os MACs podem autenticar no AD.

Para as máquinas Linux, eu usaria o SSSD, que geralmente funciona junto com o Kerberos, que, se implementado adequadamente, também permite alterações de senha tanto para a conta de domínio quanto para a conta local e implementa o cache de senhas para laptops. O pacote sssd deve estar disponível para o Ubuntu e o Fedora (nós o usamos no Debian Squeeze, e funciona bem).

Para seus vários outros aplicativos, especialmente aplicativos da Web, a autenticação LDAP também é relativamente simples de implementar, já que a maioria das linguagens de script tem módulos LDAP.

Existem alguns aplicativos nos quais você terá problemas. Exemplo: O Microsoft Dynamics GP V10 e anterior não suportam autenticação LDAP / AD, mas foi prometido para a próxima versão.

    
por 24.06.2011 / 13:19