Gerenciamento de identidades com o ActiveDirectory

5

Qual é a melhor maneira, ou mais confiável, para gerenciar minhas contas de usuário Unix / Linux com o ActiveDirectory? Ou isso é possível?

    
por Jordan S. Jones 11.08.2010 / 00:19

6 respostas

3

Eu recomendo muito altamente (altamente) o uso do Likewise Open para fazer isso. Toda vez que eu falo sobre eles, pareço um shill pago, mas não sou. É realmente tão bom assim.

Essencialmente, você instala o software (sem problemas, há um RPM e DEB intaller), execute "domainjoin-cli domain.com adminuser", digite a senha para "adminuser" e, em seguida, sua máquina faz parte do domínio do AD.

A única coisa que altero é na configuração, ative a configuração de domínio assumida padrão, porque não quero que meus usuários precisem digitar seu domínio toda vez que se conectarem à máquina.

Os benefícios são enormes. Quando você faz login com as credenciais do AD, seus UIDs e GIDs são atribuídos com base em um hash, o que significa que são os mesmos em toda a infraestrutura. Isso significa que coisas como o NFS funcionam. Além disso, é simples fazer com que coisas como Samba e Apache sejam autenticadas, já que o Likewise configura o PAM.

Graças ao Likewise Open, não há um único serviço baseado em rede que ofereço que não seja autenticado no AD.

    
por 11.08.2010 / 03:50
3

Como estamos falando de AD, vou assumir um ambiente corporativo aqui.

Tenho algumas centenas de caixas RHEL3, 4 e 5 em execução com contas de usuário baseadas no Active Directory. Todos eles executam a mesma configuração, usando nss_ldap e pam_krb5. Ele funciona brilhantemente, é suportado por todos os fornecedores comerciais de Linux na opção de suporte padrão, porque usa ferramentas prontas para uso e é sólido. No final, o AD é apenas Kerberos e LDAP e, para os fornecedores, esses são protocolos padronizados e facilmente suportáveis.

Eu ainda não encontrei um problema com essa maneira de usar o AD que não posso resolver. A documentação de Scott Lowe aqui ajudou-me um pouco quando inicialmente desenhamos solução. Não é perfeito, mas vai ajudá-lo a começar. A ideia de Scott é criar uma conta de ligação para o LDAP, que eu não gosto muito. Uma máquina que é unida no AD pode fazer consultas LDAP com suas próprias credenciais, o que é muito melhor, se você me perguntar.

Dependendo dos seus requisitos, você pode querer dar um passo para trás e considerar se precisa de uma solução suportada ou não. Por mais agradável que possa ser da mesma forma, é bastante caro. Usando as ferramentas que vêm com todas distro Linux por padrão e são, portanto, suportadas, pode ser um pouco minúsculo mais complicado (mas isso não deve assustar um bom administrador Linux) mas é tão bom (ou talvez melhor, dependendo de suas necessidades).

Eu poderia escrever um pouco mais sobre como eu fiz isso, mas não tenho tempo para isso agora. Isso seria de ajuda?

    
por 12.08.2010 / 08:47
2

Não é exatamente AD, mas recebi uma boa resposta para uma pergunta semelhante aqui:

por 12.08.2010 / 08:35
0

O LDAP do PAM contra o Active Directory deve funcionar bem.

    
por 11.08.2010 / 03:06
0

É bastante viável e já feito.

Como alguém já mencionou, o mesmo lhe dará integração direta. No entanto ...

Se você quiser dar um mergulho, você também pode instalar o winbind do projeto Samba, o que lhe daria a mesma experiência. Usando o winbind, sua máquina se tornará um membro do domínio ... e as contas de usuário no Active Directory podem ser mapeadas e atribuídas de forma transparente às configurações de UID / GID.

    
por 12.08.2010 / 03:31
0

Eu pouparei você do marketing, mas experimente o Centrify Express. É uma ferramenta gratuita para juntar o seu Linux e Macs ao AD. link

    
por 24.08.2010 / 23:53