Integração (Authn & Authz) com o Active Directory no linux [closed]

2

Estou tentando encontrar um esquema de autenticação unificada para os servidores Linux autenticarem no Active Directory. Principalmente estes são servidores Ubuntu e CentOS.

O que eu preciso:

  • Solução estável e gratuita
  • UID / GID unificado, de modo que as permissões em uma pasta sejam as mesmas, independentemente de qual servidor ela foi montada a partir de
  • Suporte para grupos recursivos e mapeamento de grupo (permissões E.G sudo e permissões de login, de modo que somente membros do grupo X possam efetuar login)
  • Montagem cruzada do diretório inicial, de forma que o diretório pessoal seja montado em todos os servidores para uma experiência unificada
  • Suporte unificado para, pelo menos, Ubuntu e CentOS (idealmente, qualquer sabor)
  • Mantenha as contas locais (com raiz mínima)
  • Idealmente, uma solução que não precisa de uma conta de computador, mas simplesmente autentica usando LDAP bind e, em seguida, faz pesquisa de grupo para autorização (sem saber como isso afetaria os outros requisitos)

Alternativas que encontrei são:

  • PowerBroker® Identity Services Open Edition (anteriormente aberto da mesma forma)
  • Centrify Express
  • Winbind

Eu tive uma experiência ruim com o mesmo aberto no passado (a autenticação estava bloqueando aleatoriamente o login do ssh), mas eu não testei a versão remarcada. Centrifique Eu não tentei, mas parece promissor, embora eu não tenha encontrado um bom recurso sobre como realizar meus objetivos. Acho que o Winbind é o mais personalizável, pelo menos para conseguir o meu último ponto.

Estou aberto a qualquer solução que resolva meu problema, mas, acima de tudo, estou procurando um guia de instalação para obter todas as opções acima, tanto no Ubuntu quanto no CentOS

Existe alguma ferramenta gratuita disponível onde eu possa resolver meus requisitos com relativa facilidade? Em caso afirmativo, qual é a configuração válida para isso?

    
por Jon Skarpeteig 03.05.2012 / 16:19

2 respostas

3

O Winbind é provavelmente o seu melhor problema (é o que temos na nossa infra-estrutura).

O UID / GID não seria necessariamente o mesmo de servidor para servidor, mas você deve ser capaz de gerenciar o acesso a quaisquer pastas / recursos que você precisa através do Samba e fazer com que ele use as contas de domínio. Em termos de permissões de login e sudo, você deve ser capaz de gerenciar aqueles com os arquivos habituais access.conf e sudoers referenciando as contas de domínio do Windows, uma vez que o winbind esteja configurado. Eu não tenho certeza sobre o crossmount do diretório inicial (não tentei implementar isso), mas ele é suportado tanto no CentOS quanto no Ubuntu. As contas locais poderão ser mantidas e não exigirão uma conta de computador.

Incluí alguns links abaixo para recursos que podem ajudá-lo na implementação.

por 03.05.2012 / 17:50
0

Você pesquisou se o FreeIPA atende às suas necessidades? Além disso, verifique este link .

    
por 03.05.2012 / 23:57