Busca da verdadeira integração do Active Directory

Navegue suas respostas
4

Antes de você rir de mim e dizer: "Se você quiser o Active Directory, use o Windows" ou me diga para usar o Google, me escute.

Minha empresa depende muito do AD. Não, nós somos casados com isso neste momento, e como uma empresa da Fortune 10, isso não está mudando. No entanto, temos muitos sistemas * nix em nosso ambiente (principalmente RHEL e SLES), e ainda não encontrei um bom mecanismo para integrar com o Active Directory como uma fonte de identidade. No mínimo, preciso de algo para fornecer o seguinte:

  1. Autenticação por meio de credenciais do AD (permitindo que um usuário entre na porta)
  2. Autorização, uma vez autenticado (concedendo acesso de usuário a áreas do sistema)
  3. Auditoria (poder vincular as ações do usuário às suas credenciais do AD)
  4. Suporte para grupos do AD (não apenas o LDAP simplificado e a necessidade de adicionar / remover usuários individuais nos sistemas)
  5. Não é uma fonte de identidade duplicada / espelhada baseada em uma confiança do AD (não preciso de dois sistemas enormes)

As principais soluções que encontrei são as seguintes:

  1. Centrifique
  2. PowerBroker Open (Open PBIS, anteriormente Likewise-Open)
  3. SSSD + SELinux

Centrifique. . . é apenas feio. Eu nunca fui um fã de verdade. Além disso, para as necessidades da minha empresa, não podemos usar o Centrify-Express, por isso não é gratuito e não há licença ilimitada. No entanto, é a melhor solução que encontramos e estou desesperado para encontrar outra coisa.

PBIS Open é o que eu estou inclinando para. É o que a VMware usa no backend do vShield e funciona muito bem. Ele requer apenas alguns comandos para configurar, suporta grupos do AD e não existe um sistema de gerenciamento de identidades secundário - ele fala diretamente com o AD. A única razão para eu não seguir esse caminho é que eu gosto de soluções nativas, e se há uma maneira melhor de fazer isso que já está incluída nas distribuições modernas, eu sou a favor disso.

SSSD + SELinux soou ótimo. É péssimo de configurar, mas é flexível, nativo e suportado pela maioria das distros modernas. A única coisa que falta (pelo que entendi) é o suporte para grupos do AD. Muitos artigos sugerem o uso do FreeIPA ou algo semelhante para adicionar essa funcionalidade, mas, após uma leitura adicional, isso viola o requisito 5 e basicamente cria um serviço de identidade de intermediário. Não estou interessado em basicamente duplicar o AD ou configurar confiança para um serviço de identidade secundário.

Outras opções do kludge que eu usei incluem o uso do Puppet (que usamos) para enviar / etc / password, shadow, agrupar arquivos para endpoints, mas isso requer desenvolvimento, é incrivelmente indireto, e eu pude ver algo indo para o sul seriamente. Uma opção melhor seria adicionar o SSSD + SELinux à idéia do Puppet. Embora simplifique o desastre, ainda é um desastre.

O que eu estou perdendo, o que você está usando e qual é a "novidade" que eu não considerei para resolver a dor de cabeça de integração do Linux AD?

    
por Arthur Sommers 25.02.2015 / 02:12

6 respostas

7

Suas soluções aqui são FreeIPA ou Centrify / PowerBroker. O FreeIPA faz parte de sua assinatura padrão do RHEL, portanto já existem algumas economias.

O FreeIPA pode ser executado em um modo em que todos os usuários e grupos podem vir do Active Directory. Você só manteria o mapeamento desses usuários e grupos para ambientes específicos de POSIX no FreeIPA, como regras SUDO, chaves SSH públicas, definições de controle de acesso baseadas em host, atribuições de contexto do SE Linux e assim por diante. Para fazer isso, você precisaria mapear alguns dos seus usuários / grupos do AD para alguns grupos no FreeIPA, mas isso não é uma duplicação das informações, ele está sendo alterado com as partes que não são específicas do AD.

A forma como o FreeIPA implementa a compatibilidade com o Active Directory é apresentando-se como uma floresta compatível com Active Directory, de tipos. É suficiente permitir que os recursos do FreeIPA sejam consumidos pelos usuários do AD por meio da confiança entre florestas, mas não o suficiente para permitir que os usuários do FreeIPA acessem sistemas Windows no outro lado da confiança. Você parece estar interessado na primeira parte, então isso deve estar bem.

Com o FreeIPA 4.1 que já faz parte do RHEL 7.1 beta (esperamos, o RHEL 7.1 estará fora 'em breve'), temos um poderoso mecanismo para manter as substituições dos usuários AD e os grupos no FreeIPA e SSSD são capazes de descobrir todos deles em granularidade por servidor.

    
por 01.03.2015 / 15:38
5

Eu realmente gostaria de ouvir o que você quer dizer com "grupos reais de AD" ao falar sobre o SSSD. As versões mais recentes do SSSD não exigem que os grupos tenham atributos POSIX e leiam principalmente as associações de grupos do TokenGroups se o provedor do AD for usado.

Além disso, no RHEL-7.1 (upstream 1.12+), o SSSD ganhou a capacidade de realizar verificações de controle de acesso usando políticas de GPO.

Sinta-se à vontade para entrar e escrever na lista sssd-users se você tiver uma pergunta específica.

    
por 26.02.2015 / 08:23
2

A oferta Redhat é bem abordada aqui:
Sabedoria comum sobre a autenticação do Active Directory para servidores Linux?

Nas minhas instalações recentes, isso foi feito por meio dos filtros de grupo SSSD (interno) e ldap ou sssd.conf.

O que exatamente seus usuários Linux precisam fazer nos sistemas?

    
por 25.02.2015 / 02:44
0

Eu uso a versão Open Source do PBIS. Na versão 6, descobri que se eu não estivesse fazendo o login em uma máquina por um tempo (como meses), quando eu iria fazer logon, o tempo expiraria. Pelo menos foi o caso de muitas máquinas. Eu não tive esse problema com a versão 8.

Eu encontrei PBIS bom o suficiente. Permitiu-me definir as opções que eu me importava (dir home padrão, assumir domínio para logon, definir grupo com acesso, etc).

Eu nunca tentei mais nada. Mas posso dizer que estou feliz com o PBIS.

Existe um módulo Puppet para instalá-lo (minha versão: link ).

    
por 25.02.2015 / 02:57
0

e o winbind + samba + kerberos?

  • Autenticação por meio de credenciais do AD (permitindo que um usuário entre na porta)

verificado

  • Autorização, uma vez autenticada (concedendo ao usuário acesso a áreas de o sistema)

verificado

  • Auditoria (poder vincular as ações do usuário às suas credenciais do AD)

/ var / log / secure? verificado

  • Suporte para grupos do AD (não apenas o LDAP simplificado e a necessidade de adicionar / remover usuários individuais em sistemas)

permite que grupos de anúncios ou usuários de anúncios em grupos locais sejam verificados

  • Não é uma fonte de identidade duplicada / espelhada baseada em uma confiança do AD (I não precisa de dois sistemas enormes)

freeipa não é obrigatório, verificado

    
por 01.03.2015 / 12:34
0

Estou usando o Winbind + Kerberose também e funciona bem por anos, mas agora estou migrando para o Pbis, já o uso em algumas máquinas há anos, e estou satisfeito com isso. mas como eu gosto de ter soluções nativas também, lá para eu vou começar a testar integrações sssd como mencionado neste documento da RedHat. link

tem diferentes cenários de integração AD.

    
por 08.06.2016 / 14:44

Tags

ssl erro de certificado ao fazer solicitação cURL ao endereço IP Confuso em fazer coisas de administração de sistemas com python ou não