Método de Autenticação Centralizada

3

Eu tenho mais de 1000 servidores Linux / Unix (Solaris) na minha rede e quero implementar algum tipo de servidor de login centralizado. Para criar usuários em um servidor e ele pode fazer login em qualquer servidor da minha rede. Mas haveria alguma exceção que eu quero implementar como, todo mundo não quero dar a cada usuário o acesso a todos os servidores. Como o cara da equipe de desenvolvimento não deve ser capaz de acessar servidores da equipe de gerenciamento de falhas e vice-versa.

Eu não quero usar o LDAP. Eu ouvi sobre Kerberos e RADIUS ou Radius + SSH + LDAP. Por favor, sugira qual será o melhor caminho a percorrer. Eu só quero centralizar o gerenciamento de usuários e o gerenciamento de acesso ao servidor.

Obrigado & Saudações Ramesh Kumar

    
por Ramesh Kumar 06.10.2010 / 04:21

3 respostas

1

Você precisa ter um repositório de usuários central, o que significa um serviço de diretório de algum tipo. Atualmente, isso significa o Active Directory, o eDirectory, o OpenLDAP ou algum outro servidor no estilo LDAP. Então, esse servidor central pode falar sobre diferentes tipos de protocolos de autenticação com o entendimento de que, mais cedo ou mais tarde, o serviço de autenticação retornará ao serviço de diretório e que o serviço de diretório provavelmente estará falando em LDAP. Este é o caso, mesmo se o serviço de diretório tiver sua própria API, porque tudo fala em LDAP, de modo que os aplicativos geralmente usam isso hoje em dia.

O Active Directory, é claro, é a escolha mais simples de fazer hoje em dia, já que a Microsoft insistiu bastante em ser onipresente e atender a maioria das necessidades.

Eu prefiro o eDirectory porque ele tem uma grande estabilidade e escalabilidade, é mais compatível com Unix do que o AD (tanto para clientes quanto para servidores) e possui um modelo de replicação que não pode ser superado.

O Openldap (e suas derivações, incluindo o Open Directory da Apple) é muito mais barato e modificável do que os outros, sendo a entrada de código aberto, mas minha impressão é de que ele é um pouco mais frágil em grandes implantações e o gerenciamento é mais confuso.

Existem alguns outros servidores LDAP disponíveis (como o Oracle Directory Server, que podem se encaixar bem nas suas caixas Sun), mas eu estou menos familiarizado com eles e, portanto, não posso fornecer detalhes firmes. Dado que você parece querer evitar o LDAP, você pode querer verificar quais métodos de autenticação cada serviço de diretório suporta para servidores Unix e basear sua decisão sobre isso.

    
por 06.10.2010 / 16:47
6

Existe realmente apenas uma solução: LDAP, a menos que você siga a rota realmente legada: NIS, NIS +.

O LDAP pode funcionar muito bem com netgroups para definir quais pessoas têm acesso a quais servidores, wiki do projeto Fedora nesse assunto. Você também pode manter a configuração sudo no LDAP e, para o benefício adicional, já existem soluções de gerenciamento da Web para ele, GOsa² sendo um dos melhores, mais centrados no Linux.

Talvez nos diga por que você não deseja o LDAP. Dessa forma, poderemos amenizar seus problemas com ele ...

Existem três maneiras de contornar o problema da rede ou do servidor:

  • use uma configuração replicada com vários servidores LDAP (os nss_ldap e pam_ldap usarão o servidor de backup quando o principal estiver inativo), A documentação do OpenLDAP é bastante extensa neste tópico
  • use o cache no cliente, pam_ccreds ou Fedora SSSD
  • siga a rota mais pesada: use o servidor LDAP adicional na maioria dos servidores críticos
por 06.10.2010 / 05:20
0

Se o seu Linux é um derivado da Red Hat, então dê uma olhada em freeipa . Então você obtém uma configuração ldap + kerberos gerenciada de maneira fácil. Eles também têm um cliente solaris, esperamos que alguém na Canonical acorde e liberte os recursos necessários para que os clientes do Ubuntu trabalhem em tal domínio.

    
por 06.10.2010 / 08:50