Eu tenho mexido com os Serviços do unix 3.5 por dois dias e estou chegando a lugar nenhum rapidamente.
Deixe-me explicar nossa situação. Temos várias centenas de servidores Linux e centenas de desktops Windows, dezenas de servidores servidores 2003/8 e alguns servidores as400. Temos 900 funcionários e a maioria deles são desenvolvedores de algum tipo. Cada departamento tem seu próprio grupo de servidores e PCs que compram e nós temos suporte a MIS. Gerenciando todos os usuários e indo e vindo e tentando descobrir quais nomes de usuários em quais servidores está se tornando cada vez mais difícil. Heck descobrir quais servidores eles tinham acesso também pode ser difícil às vezes. Mas queremos uma maneira de todos os usuários de ambas as janelas e do Linux se autenticarem em nosso anúncio. Assim, quando adicionamos um usuário e o colocamos no grupo correto, ele pode agora fazer login em computadores pertencentes a esse grupo. Quando eles mudam sua senha, ela muda em todos os sistemas, e quando tiramos o grampeador vermelho e eles se encaixam, podemos negar o acesso instantaneamente.
Antes de postar, sim, planejamos limpar nosso AD e configurar os nomes de usuário para ficar o mais próximo possível de algum tipo de padrão. Estamos apenas na fase de testes e agora temos novas contratações para passarmos da fase de fogo para a melhor fase de práticas.
O SFU usando o NIS é a melhor maneira de fazer isso? Como você implementou algo semelhante?
Se você estiver apenas procurando por autenticação, eu obteria a configuração de autenticação ldap nas máquinas Linux e AS400. Usar o NIS da SFU funciona, embora seja uma fera para começar a trabalhar em primeiro lugar.
Linux.com tem um bom artigo inicial.
O Quatrocentos Gurus tem um artigo sobre integração AD , embora não seja tão fácil -passo como o anterior. Honestamente, eu não sou tão familiarizado com o AS400, então talvez alguém possa entrar em contato com mais informações.
Você não precisa do SFU ou de qualquer outra coisa além do LDAP. O segredo é que você deve adicionar uma conta de usuário do AD dedicada sem expiração de bloqueio / PW, e esse usuário não faz nada além de executar consultas LDAP no AD. Em seguida, configure o LDAP em todas as suas caixas do Linux. No ldap.conf você coloca este usuário e senha nas diretivas binddn & bindpw. Funcionou perfeitamente para mim.
FYI - configure o horário da rede! Eu tive uma má configuração do NTP em um dos meus servidores Linux. O compartilhamento de arquivos Linux + > do AD + Samba funcionou perfeitamente durante meses, depois o relógio se desviou para mais de cinco minutos dos controladores de domínio do AD e ele quebrou.