Ersatz für NIS / YP

Das Unternehmen, für das ich arbeite, beginnt damit, die derzeit lokal entwickelte NIS / YP-Struktur durch LDAP zu ersetzen.

Wir haben bereits AD für Windows-Produkte im Haus und möchten die Verwendung eines AD-Systems in Betracht ziehen. Die AD-Leute sind ziemlich restriktiv und würden keine umfangreichen Modifikationen unterstützen.

Der Ersatz muss die Unterstützung umfassen. Die vollen Funktionen der NIS / YP-Suite umfassen Netzgruppen, Anmeldebeschränkungen für bestimmte Server für bestimmte Benutzer oder Benutzergruppen, konsistente Kennwörter zwischen der * nix- und der Windows-Umgebung usw. Unsere Umgebung ist eine Mischung aus Linux (suse, RH, Debian), Sun, IBM, HP und MPRAS sowie einem NETAPP. Was auch immer wir verwenden, muss für alle Umgebungen vollständig inklusiv sein.

Wir haben uns Ebenso angeschaut, aber unser Management möchte andere Alternativen zum Vergleich.

Welche anderen Dinge sollte ich beachten und wie beurteilen Sie die Alternative?

Vielen Dank

Microsoft hatte früher so etwas wie "Dienste für Unix" (es gibt es immer noch, aber mit einem anderen Namen: Es ist jetzt "Subsystem für UNIX-basierte Anwendungen (SUA)"). - Zu den darin enthaltenen Funktionen gehörte ein AD-zu-NIS-Gateway, das dies ermöglicht Sie müssen eine NIS-Domäne erstellen, die effektiv Ihrer AD-Domäne zugeordnet ist.
Dies ist wahrscheinlich der Weg des geringsten Widerstands für Sie, da Ihre Unix-Umgebung heterogen ist. Alles, was NIS verstanden hat, wird den MS NIS-Server verstehen, da es sich bei Ihren Unix-Systemen immer noch um einen einfachen alten NIS-Server handelt.

Eine andere Option ist pam_ldapd (oder pam_ldap + nss_ldap) - Dies würde direkt nach Ihren AD-Servern fragen und einige der Einschränkungen von NIS umgehen, aber ich weiß nicht, wie gut die Netzgruppenunterstützung und dergleichen auf diesen ist (ich weiß pam_ldap + nss_ldap bietet keine funktionierende Netzgruppenunterstützung für FreeBSD.

Sie könnten freeipa ( http://freeipa.org ) von den Redhat-Leuten ausprobieren . Es soll nis / yp ersetzen und bietet Ihnen als Bonus eine kerberisierte Umgebung. Natürlich können Sie Clients nur mit pam_ldap verbinden, aber Sie verlieren dann die einmalige Anmeldung.

Sie können übrigens auch Benutzer mit AD synchronisieren.

Da Sie bereits AD im Haus haben, empfehle ich, Freeipa / Redhat IDM als vertrauenswürdige Domäne von Active Directory einzurichten. Auf diese Weise können Sie nicht nur kostenlos alle vorhandenen Benutzer- und Gruppeninformationen in AD verwenden, sondern auch Zugriffssteuerungen und Richtlinien in ipa festlegen.

Sie erhalten auch Kerberos & sso Potenzial. Ipa in diesem Setup präsentiert Anzeigengruppen als Netzgruppen (wie nis).

Es kommt mit einer netten Web-GUI und einer internen rollenbasierten Zugriffskontrolle (z. B. wer Hosts mit dem Kerberos-Bereich verbinden kann, wer Sudo verwalten kann usw.).

Jeder Client sollte sich entweder gegen ipa oder AD authentifizieren können.

QAS (beide Versionen) ist meiner Meinung nach eine ideale Lösung, abgesehen von den Kosten, die verrückt sein können. Es erfordert auch eine Schemaänderung an AD, was selbst in Ordnung ist, aber Ihre AD-Leute mögen das vielleicht nicht.

Die neueren Versionen von winbind sind viel stabiler als 3.x, erfordern jedoch, dass auf jedem Host Zugriffsrichtlinien (sudo, ssh) konfiguriert sind.

Ich kann nicht für zentrifizieren sprechen.

Ich war in Umgebungen, in denen VAS (jetzt von Quest als etwas anderes bezeichnet) und Centrify verwendet wurden. Ich habe keines der beiden Systeme gewartet, ich war nur ein Benutzer. Ich kann Ihnen also nicht bei der Entscheidung helfen, aber das sind einige andere Namen.

Nach allem, was ich gesehen habe, haben beide funktioniert und beide haben Ihre aufgeführten Anforderungen erfüllt, obwohl es immer Schluckauf gab.

Winbind funktioniert gut, besonders mit der RID-Option. Verwenden Sie die AD-Server als NTP-Angelegenheit für die Unix-Boxen. Dies erleichtert die Arbeit und funktioniert einwandfrei. Lassen Sie Kerberos als nächstes mit AD arbeiten. Es ist sehr einfach. Stellen Sie einfach sicher, dass ntp funktioniert und die Clients Anzeigen für DNS verwenden. Die RID-Option in WinBind erzeugt eine vorhersehbare UID für Benutzer und eine GID für Ihre Gruppen. Mit der Samba / Winbind-Konfiguration können Sie eine Shell auswählen, die alle Benutzer erhalten. Ich bin nicht sicher, ob Sie konfigurieren können, dass einzelne Benutzer unterschiedliche Shells haben. Der Benutzer kann bei der Anmeldung immer die gewünschte Shell starten. Die Anmeldebeschränkungen können über sshd_config beibehalten werden, basierend auf Gruppen. Sie müssen mit den älteren Computern und der Netapp beginnen, um festzustellen, ob die von Ihnen installierte Version von Samba / Winbind die Backend-RID-Option unterstützt.