Gerenciando contas de usuários do Linux + Samba + more

Navegue suas respostas
1

Eu tenho uma rede de cerca de 3-6 servidores CentOS, com cerca de 5 a 10 usuários (atualmente e no futuro próximo). Estou procurando uma solução para gerenciamento centralizado de usuários.

Meus requisitos são:

  1. Autenticação do Linux (login nos servidores)
  2. Integração com o Samba - apenas para expor arquivos do Linux para o Windows; Eu não quero usar esta solução para entrar em máquinas Windows
  3. API para outros serviços que precisam de autenticação, como Redmine ou Alfresco
  4. Gerenciamento simples

Tentei o OpenLDAP, mas parece muito complicado para minha pequena rede. Então eu instalei o IdM do RedHat (= FreeIPA), que era fácil de instalar e muito legal de administrar. Também é baseado no LDAP, então eu achei que seria legal com os outros jogadores.

Surpreendentemente, parece que o IdM / FreeIPA não se integra bem ao Samba. Além disso, parece que eu estava enganado, e o IdM / FreeIPA não expõe seu banco de dados LDAP a outros serviços - eles precisam ser Kerberizados, o que complica os negócios ...

Assim, a solução razoável parece estar de volta ao LDAP. Estou correto?

Mas mesmo com o LDAP, não sei qual é a abordagem correta ...

  1. Servidor OpenLDAP / 389
  2. Samba3 com backend LDAP ou Samba4 com LDAP incorporado
  3. link

Eu nem tenho certeza se estou fazendo a pergunta certa:)

    
por Zvika 19.03.2014 / 12:01

3 respostas

2

Isso é um pouco complicado por causa do ponto 3. O LDAP no IPA está disponível apenas não de forma anônima, então você precisa ou kerberizar os aplicativos que estão fazendo consultas OU dar-lhes uma conta genérica para vincular. A maioria dos aplicativos que eu vi suportam isso.

Do wiki do samba: " Note que você não pode apontar o Samba4 para o seu servidor OpenLDAP existente e esperar que as coisas funcionem. "

Honestamente, dependendo das especificidades do requisito 3 para um ambiente tão pequeno, sugiro que você use o Active Directory (supondo que você já o tenha feito) via sssd e como o back-end para o samba. Esta é a solução mais fácil e mais sustentável, assumindo que o req 3 a suporta.

    
por 17.08.2014 / 05:52
1

Eu escolheria alguma solução baseada em LDAP para a flexibilidade e o suporte amplo e, para o mundo GNU / Linux, sua melhor aposta é o OpenLdap. No início, o mundo do ldap é um pouco trivial, mas é bastante sólido.

Você precisa:

  • um servidor OpenLdap, talvez dois (de um modo provedor-consumidor) se você precisa de uma arquitetura de alta disponibilidade, com o esquema do Samba instalado

  • um servidor Samba configurado para recuperar usuários e grupos usando o Openldap como backend e expor alguns compartilhamentos

  • Ferramentas Smbdlap para gerenciar (adicionar, editar, excluir) usuários e grupos da linha de comando

  • um web gui para gerenciamento simples (adicionar, editar, excluir) de usuários e grupos, sugiro fusiondirectory ou alternativa a um cliente ldap local

  • configurações e pacotes para ativar o suporte ao ldap em pam e nss para o GNU login no linux.

Por lá, há alguns bons tutorial para essa configuração.

    
por 04.06.2014 / 11:44
0

Se você não quer construir tudo do zero, você pode querer experimentar o Univention Corporate Server (UCS). Eu trabalho para a Univention, então eu sei bem disso. É um sistema operacional de nível corporativo baseado no Debian que funciona bem como gerenciamento de domínio / identidade para ambientes heterogêneos. Há também um "Core Edition" gratuito que tem todos os recursos de que você precisa.

Entre outras coisas, fornece:

  1. autenticação para clientes via LDAP e / ou Kerberos
  2. compartilha via NFS e / ou Samba (Samba 4 / AD também é possível)
  3. autenticação para serviços externos - veja abaixo os detalhes
  4. uma boa interface de administração baseada na web

Como Andy apontou, você geralmente não quer expor seu diretório LDAP sem autenticação (anonimamente). É uma boa prática criar um usuário especial no diretório LDAP e usar esse usuário no aplicativo de terceiros para autenticar ao consultar o diretório LDAP.

Existem até artigos na Wiki da Univention para Redmine e Alfresco: Cool Solution - Instale o Redmine e configure a autenticação do ldap Cool Solution - Alfresco

Mais informações sobre o UCS no site da Univention .

Espero que eu tenha ajudado você Maren

    
por 08.12.2015 / 11:49

Tags

“/ usr / bin / env: bash: Nenhum tal arquivo ou diretório” durante o comando puppet exec Como configuro o Linux para registrar quando ulimits são atingidos?