sssd vs nslcd para RHEL-5/6

Navegue suas respostas
5

Temos 50 máquinas RH-5 e 70 máquinas RH-6. Eu estou olhando para decidir o que devemos usar para o LDAP:

  1. nscd / nslcd para todos os servidores RH-5 / RH-6
  2. nscd / nslcd para servidores RH-5, sssd para servidores RH-6
  3. sssd para todos os servidores RH-5 / RH-6

O SSSD está disponível em ambas as versões (RHEL5 - sssd 1.5 e RHEL6 - sssd 1.9 +)

A última opção significa que as máquinas RHEL5 executariam o sssd 1.5.

Eu preferiria um ambiente com o mesmo software e configuração, tanto quanto possível, a menos que as pessoas digam que sssd é realmente melhor para o RH-6 e o nscd / nslcd é realmente melhor para o RH-5.

Qual é a melhor opção?

    
por ujjain 19.08.2013 / 15:48

3 respostas

4

sssd é provavelmente a opção mais "progressiva" a seguir. Nesta medida, as outras respostas estão corretas. Dito isso, o sssd não substitui completamente as características do nslcd, ao contrário da opinião popular.

A principal vantagem (situacional) do nslcd sobre o sssd é que você pode escrever uma consulta authz customizada com a substituição de parâmetro: 

   pam_authz_search FILTER
          This option allows flexible fine tuning of the authorisation check that should be performed. The search filter specified is executed and if  any  entries
          match, access is granted, otherwise access is denied.

          The  search  filter can contain the following variable references: $username, $service, $ruser, $rhost, $tty, $hostname, $dn, and $uid.  These references
          are substituted in the search filter using the same syntax as described in the section on attribute mapping expressions below.

          For example, to check that the user has a proper  authorizedService  value  if  the  attribute  is  present:  (&(objectClass=posixAccount)(uid=$username)
          (|(authorizedService=$service)(!(authorizedService=*))))

          The default behaviour is not to do this extra search and always grant access.

A última vez que verifiquei os documentos do sssd (nos últimos seis meses), ainda não havia substituto para esse recurso. Então, isso realmente depende se esse recurso é importante o suficiente para deixar de lado os benefícios da solução consolidada do sssd.

    
por 19.10.2013 / 07:47
2

I would prefer an environment with the same software and configuration as much as possible, unless people say that sssd is really better for RH-6 and nscd/nslcd is really better for RH-5.

O SSSD é o futuro e você obtém o Kerberos auth & melhor compatibilidade com o AD, se esse for o seu servidor LDAP, por exemplo.

Caso contrário, não vejo qualquer razão para não usar o nslcd, ele funciona bem no meu ambiente supondo que você esteja usando uma versão nova o suficiente para suportar grupos aninhados - veja a opção "nss_nested_groups" (supondo que você os use, caso contrário você deveria estar bem).

    
por 19.08.2013 / 16:14
1

O SSSD é o futuro e muito mais poderoso que o nslcd.

O SSSD pode fornecer recursos adicionais como SSO em máquinas off-line, para que você possa, por exemplo, usar o SSSD em estações de trabalho do Notebook e os usuários poderão efetuar login através do Daemon do Sigun Single On mesmo sem conexão com o servidor de autenticação.

Não há razão para implementar o nslcd e todas as dependências que o nslcd requer com sssd no jogo.

E, finalmente, o SSSD é um projeto do Fedora Hosted. Por isso deve jogar bem com o RHEL.

Informações adicionais podem ser encontradas no site: link

Há muitos recursos de AD, LDAP e vários back-ends de autenticação na Web.

    
por 19.08.2013 / 16:31

Tags

Desempenho do NAS de fornecedores da SAN vs Whitebox Como apagar todos os dados do histórico de disponibilidade do nagios?