लिनक्स सर्वर के लिए सक्रिय निर्देशिका प्रमाणीकरण के बारे में सामान्य ज्ञान?

लिनक्स सर्वर और आधुनिक विंडोज सर्वर ऑपरेटिंग सिस्टम (CentOS / RHEL- केंद्रित) के लिए सक्रिय निर्देशिका प्रमाणीकरण / एकीकरण के बारे में 2014 में सामान्य ज्ञान क्या है ?

2004 में एकीकरण के साथ मेरे पहले प्रयास के बाद से, ऐसा लगता है कि इसके आस-पास की सर्वोत्तम प्रथाओं को स्थानांतरित कर दिया गया है। मुझे यकीन नहीं है कि किस पद्धति में वर्तमान में सबसे अधिक गति है।

क्षेत्र में, मैंने देखा है:

Winbind / Samba
स्ट्रेट-अप LDAP
कभी - कभी LDAP + Kerberos
Microsoft Windows सेवाएँ Unix (SFU) के लिए
Microsoft पहचान प्रबंधन Unix
NSLCD
SSSD
FreeIPA
Centrify पॉवरब्रोकर
( इसी तरह )

विनबिंद हमेशा भयानक और अविश्वसनीय लगता था। Centrify और Likewise जैसे वाणिज्यिक समाधानों ने हमेशा काम किया, लेकिन अनावश्यक लग रहा था, क्योंकि यह क्षमता ओएस में बेक की गई है।

पिछले कुछ संस्थापनों को मैंने किया है Microsoft पहचान प्रबंधन के लिए यूनिक्स की भूमिका सुविधा के लिए एक Windows 2008 R2 सर्वर और NSLCD को लिनक्स पक्ष (RHEL5 के लिए) में जोड़ा गया है। यह आरएचईएल 6 तक काम किया, जहां एनएसएलसीडी और स्मृति संसाधन प्रबंधन मुद्दों पर रखरखाव की कमी ने एसएसएसडी में बदलाव के लिए मजबूर किया। रेड हैट भी SSSD के दृष्टिकोण का समर्थन करता है, इसलिए यह मेरे उपयोग के लिए ठीक है।

मैं एक नई स्थापना के साथ काम कर रहा हूं जहां डोमेन नियंत्रक विंडोज 2008 आर 2 कोर सिस्टम हैं और इसमें यूनिक्स भूमिका सुविधा के लिए पहचान प्रबंधन को जोड़ने की क्षमता नहीं है। और मुझे बताया गया है कि यह सुविधा पदावनत है अब Windows Server 2012 R2 में मौजूद नहीं है ।

इस भूमिका को स्थापित करने का लाभ इस GUI की उपस्थिति है, जबकि उपयोगकर्ता विशेषताओं के आसान एक-चरण प्रशासन की अनुमति देता है।

परंतु...

दूरस्थ सूचना व्यवस्थापन उपकरण (RSAT) के लिए नेटवर्क सूचना सेवा (NIS) उपकरण विकल्प का सर्वर पदावनत है। देशी LDAP, सांबा क्लाइंट, केर्बरोस या गैर-Microsoft विकल्पों का उपयोग करें।

अगर यह अग्रेषण-अनुकूलता को तोड़ सकता है तो इस पर भरोसा करना वास्तव में मुश्किल हो जाता है। ग्राहक Winbind का उपयोग करना चाहता है, लेकिन मैं जो कुछ भी Red Hat साइड से देखता हूं वह SSSD का उपयोग करता है।

सही तरीका क्या है?
आप अपने परिवेश में इसे कैसे संभालते हैं?

मार्च 2014 में, Red Hat ने Red Hat Enterprise Server को सक्रिय निर्देशिका के साथ एकीकृत करने के लिए एक संदर्भ वास्तुकला प्रकाशित किया । (यह सामग्री निश्चित रूप से वर्तमान और प्रासंगिक होनी चाहिए।) मैं इसे उत्तर के रूप में पोस्ट करने से नफरत करता हूं, लेकिन यह वास्तव में उत्तर क्षेत्र में स्थानांतरित करने के लिए बहुत अधिक सामग्री है।

यह दस्तावेज (सही किया गया) गर्म है प्रेस से लगता है कि Red Hat Enterprise Linux (RHEL) 7. की नई विशेषताओं पर ध्यान केंद्रित किया गया है। इसे पिछले सप्ताह शिखर सम्मेलन के लिए प्रकाशित किया गया था।

क्या यह लिंक बासी होना चाहिए, कृपया मुझे बताएं और मैं तदनुसार जवाब अपडेट कर दूंगा।

मैंने व्यक्तिगत रूप से WinBind का उपयोग प्रमाणीकरण के लिए काफी मज़बूती से किया है। वहाँ बहुत ही असंगत सेवा विफलता है जिसमें किसी को रूट या अन्य स्थानीय खाते की आवश्यकता होती है ताकि वे विंडबाइंड में जाकर बाउंस कर सकें। संभवत: उचित निगरानी के जरिए इससे निपटा जा सके।

यह ध्यान देने योग्य है कि Centrify में अतिरिक्त कार्यक्षमता है, हालांकि यह अलग कॉन्फ़िगरेशन प्रबंधन द्वारा प्रदान किया जा सकता है। (कठपुतली, आदि)

संपादित करें 6/16/14:

Red Hat Enterprise Linux 7 विंडोज एकीकरण गाइड

पुन: "सेंट्रिफाई और लाइकवाइज़ जैसे वाणिज्यिक समाधानों ने हमेशा काम किया, लेकिन अनावश्यक लग रहा था, क्योंकि यह क्षमता ओएस में बेक की गई है।"

वैसे मुझे लगता है कि हम में से ज्यादातर सालों से सुनते आ रहे हैं कि XYZ ऑपरेटिंग सिस्टम आखिरकार AD इंटीग्रेशन पहेली को क्रैक करता है। IMHO की समस्या यह है कि OS विक्रेता के लिए, AD एकीकरण एक चेकबॉक्स सुविधा है, अर्थात उन्हें उस चेकबॉक्स को प्राप्त करने के लिए कुछ ऐसा काम करना होगा जो कि थोड़े काम करता है, और यह कि चेकबॉक्स आमतौर पर केवल काम करता है ...

1. उनके ओएस मंच और
2. उस मंच का वर्तमान संस्करण और
3. सक्रिय निर्देशिका के अधिक हाल के संस्करण के खिलाफ।

वास्तविकता यह है कि अधिकांश वातावरण ओएस विक्रेता और ओएस संस्करण के संदर्भ में अखंड नहीं हैं, और एडी के पुराने संस्करण होंगे। इसीलिए Centrify जैसे एक विक्रेता को UNIX / Linux / Mac / etc के 450+ फ्लेवर का समर्थन करना पड़ता है। विंडोज 2000 से विंडोज 2012 आर 2 के खिलाफ, न केवल आरएचईएल 7 फिर से विंडोज 2012 आर 2।

इसके अलावा, आपको इस बात की आवश्यकता है कि आपका AD किस प्रकार तैनात है, इसलिए OS विक्रेता का AD एकीकरण समर्थन केवल डोमेन नियंत्रक (RODCs) पढ़ें, एक तरफ़ा ट्रस्ट, बहु-वन सहायता प्रदान करें, आदि और यदि आपके पास पूर्व हो तो क्या होगा? मौजूदा UID स्पेस (जो आप करेंगे), क्या UIDs को AD में माइग्रेट करने के लिए माइग्रेशन टूल हैं। और क्या ओएस विक्रेता का एडी समर्थन कई यूआईडी को एक एडी में मैप करने की क्षमता को संबोधित करता है, जिसमें आपकी यूआईडी स्पेस समतल नहीं है। और क्या ... अच्छी तरह से आप विचार प्राप्त करते हैं।

फिर समर्थन का सवाल है ...

बिंदु विज्ञापन एकीकरण है, यह आसान संकल्पनात्मक रूप से लग सकता है और किसी विक्रेता के नवीनतम OS के साथ "मुक्त" हो सकता है, और संभवतः काम कर सकता है यदि आपके पास एक विक्रेता से ओएस का सिर्फ एक संस्करण है और एक वैनिला विज्ञापन है जो नवीनतम संस्करण है, और आपके पास है ओएस विक्रेता के साथ एक प्रीमियम समर्थन अनुबंध जो किसी भी समस्या को ठीक करने की पूरी कोशिश करेगा। अन्यथा आप एक विशेष तृतीय पक्ष समाधान पर विचार करना चाह सकते हैं।

दूरस्थ सूचना व्यवस्थापन उपकरण (RSAT) के लिए नेटवर्क सूचना सेवा (NIS) उपकरण विकल्प का सर्वर पदावनत है।

यह मेरे लिए कोई आश्चर्य की बात नहीं है - एनआईएस इस बात का सबूत है कि सूर्य हमसे नफरत करता था और चाहता था कि हम दुखी हों।

देशी LDAP, सांबा क्लाइंट, केर्बरोस या गैर-Microsoft विकल्पों का उपयोग करें।

यह अच्छी सलाह है। विकल्पों को देखते हुए मैं कहूंगा कि "मूल LDAP (SSL पर, कृपया) का उपयोग करें" - इसके लिए कई विकल्प उपलब्ध हैं, दो मैं सबसे ज्यादा pam_ldap + nss_ldap (PADL से), या संयुक्त nss-pam- से परिचित हूं ldapd (जो एक कांटा के रूप में उत्पन्न हुआ है और चल रहे विकास और संवर्द्धन को देखा है)।

चूंकि आप रेडहैट के बारे में पूछ रहे हैं, विशेष रूप से यह ध्यान देने योग्य है कि रेडहैट आपको एसएसएसडी का उपयोग करके अन्य विकल्प प्रदान करता है ।
यदि आपका वातावरण ऑल-रेडहैट (या सिर्फ बड़ी संख्या में रेडहैट सिस्टम है) आधिकारिक तौर पर समर्थित "रेडहैट वे ऑफ़ थिंग्स थिंग्स" में देखना निश्चित रूप से आपके समय के लायक होगा।

जैसा कि मुझे खुद RedHat / SSSD के साथ कोई अनुभव नहीं है, मैं सिर्फ डॉक्स से जा रहा हूं, लेकिन यह काफी मजबूत और अच्छी तरह से डिज़ाइन किया गया है।

सुझाए गए तरीकों में से, मैं आपको एक पेशेवरों / विपक्ष की सूची देता हूं:

सीधे केर्बरोस / एलडीएपी

पेशेवरों: ठीक से कॉन्फ़िगर किए जाने पर बढ़िया काम करता है। शायद ही कभी टूटता है, लचीला, नेटवर्क glitches बच जाएगा। AD में किसी परिवर्तन की आवश्यकता नहीं, कोई स्कीमा परिवर्तन नहीं, AD के लिए कोई व्यवस्थापक पहुँच की आवश्यकता नहीं। मुक्त।

विपक्ष: सापेक्ष रूप से कॉन्फ़िगर करना मुश्किल है। एकाधिक फ़ाइलों को बदलने की आवश्यकता है। प्रमाणीकरण सर्वर (केर्बरोस / एलडीएपी) उपलब्ध नहीं होने पर काम नहीं करेगा।

विनबाइंड

पेशेवरों: कॉन्फ़िगर करने में आसान। बुनियादी सुडो कार्यक्षमता। मुक्त।

विपक्ष: गहन समर्थन करें। नेटवर्क लचीला नहीं है। यदि कोई नेटवर्क समस्या है, तो linux मशीनों को AD से सर्वर को फिर से पंजीकृत करने, एक समर्थन कार्य की आवश्यकता हो सकती है। AD के व्यवस्थापक खाते तक पहुंच आवश्यक है। AD में स्कीमा परिवर्तन करने के लिए धन्यवाद।

केंद्रीकृत / इसी तरह आदि।

पेशेवरों: कॉन्फ़िगर करने के लिए अपेक्षाकृत आसान है।

विपक्ष: समर्थन करने के लिए कठिन, स्वामित्व के लिए sudo कार्यक्षमता में परिवर्तन। प्रति सर्वर लाइसेंस लागत। प्रबंधन के लिए अतिरिक्त कौशल की आवश्यकता है।

SSSD

पेशेवरों: एक कॉन्फ़िगर फ़ाइल, कॉन्फ़िगर करने में आसान। सभी वर्तमान और भविष्य प्रमाणीकरण विधियों के साथ काम करता है। स्केलेबल, सिस्टम के साथ बढ़ता है। डिस्कनेक्टेड मोड में काम करेगा। नेटवर्क लचीला। AD स्कीमा में कोई बदलाव करने की आवश्यकता नहीं है। AD व्यवस्थापक क्रेडेंशियल्स के लिए कोई ज़रूरत नहीं है। नि: शुल्क, समर्थित।

विपक्ष: DNS की स्वचालित अपडेट जैसी सेवाओं की जीत नहीं है। CIFS शेयरों को कॉन्फ़िगर करने की आवश्यकता है।

सारांश

फायदे और नुकसान को देखते हुए, SSSD स्पष्ट विजेता है। यदि यह एक नई प्रणाली है, तो SSSD के अलावा और कुछ भी उपयोग करने का कोई कारण नहीं है। यह एक इंटीग्रेटर है जो सभी वर्तमान प्रमाणीकरण विधियों के साथ काम करता है और सिस्टम के साथ बढ़ सकता है क्योंकि उपलब्ध होने पर नए तरीके जोड़े जा सकते हैं। यह मूल लिनक्स विधियों का उपयोग करता है और बहुत अधिक विश्वसनीय और तेज है। यदि कैशिंग चालू है, तो सिस्टम पूरी तरह से डिस्कनेक्ट किए गए सिस्टम में भी पूर्ण नेटवर्क विफलता के साथ काम करेगा।

मौजूदा सिस्टम के लिए विनबिंड का उपयोग किया जा सकता है यदि परिवर्तन में बहुत अधिक काम शामिल है।

Centrify में एकीकरण के मुद्दे थे जो महंगा हो सकता था। नई रिलीज़ में अधिकांश बग फिक्स हैं, लेकिन फिर भी कुछ ऐसे हैं जो सिरदर्द का कारण बनते हैं।

मैंने इन सभी तरीकों के साथ काम किया है और एसएसएसडी स्पष्ट विजेता है। यहां तक ​​कि पुरानी प्रणालियों के लिए, विनबिंड से एसएसएसडी में परिवर्तित करने के लिए आरओआई बहुत अधिक है। जब तक एसएसएसडी का उपयोग न करने का एक विशिष्ट कारण है, हमेशा एसएसएसडी का उपयोग करें।

इस पर टिप्पणी करनी है:

यह ध्यान देने योग्य है कि Centrify में अतिरिक्त कार्यक्षमता है, हालांकि यह अलग कॉन्फ़िगरेशन प्रबंधन द्वारा प्रदान किया जा सकता है। (कठपुतली, आदि)

के रूप में कोई है जो Centrify के साथ काम करता है यकीन नहीं है कि टिप्पणी कहाँ से आता है। देखो इस और आप देख सकते हैं सुविधाएँ आपको कठपुतली आला एक config प्रबंधन पहले उपकरण के साथ नहीं मिलता है बहुत सारी नहीं है। उदाहरण के लिए, एक एकल खाते (ज़ोन) के लिए कई यूआईडी की मैपिंग के लिए समर्थन, पूर्ण सक्रिय निर्देशिका डोमेन ट्रस्टों के लिए समर्थन (जो पेज 3 पर Red Hat समाधान दस्तावेज़ जो इसका समर्थन नहीं करता है), आदि।

लेकिन इस Red Hat गाइड पर वापस जाएं। यह बहुत अच्छा है कि Red Hat इसे प्रकाशित कर रहा है, विकल्प अच्छे हैं। ध्यान दें कि यह ग्राहक को मूल AD एकीकरण करने के लिए 10 विकल्प देता है। अधिकांश विकल्प विनबिंड के रूपांतर हैं, और पृष्ठ 15 यह प्रत्येक के फायदे और नुकसान को सूचीबद्ध करता है, और प्रत्येक के लिए आवश्यक मैनुअल चरणों का एक गुच्छा है (इसके अनुरूप नुकसान / कार्यक्षमता की कमी)। Centrify Express का लाभ यह है कि ऊपर दिए गए अन्य टिप्पणीकारों के अनुसार:

1. सभी मैन्युअल चरणों को w / बाहर स्थापित करना सरल है और ...
2. स्वतंत्र है और ...
3. Red Hat V7 तक सीमित नहीं है जो कि महत्वपूर्ण है क्योंकि लिनक्स के साथ प्रश्न करना था, न कि केवल एक प्रकार का - Centrify 300 से अधिक फ्लेवर का समर्थन करता है * nix और ...
4. विंडोज 2008 के सभी संस्करणों का समर्थन करता है, न कि केवल विंडोज 2008। उन्होंने यहां सेंट्रिफ बनाम विनबिंड की तुलना प्रकाशित की , लेकिन यह खुला स्रोत नहीं है।

अंत में यह उबलता है कि क्या आप इसे स्वयं रोल करना चाहते हैं या एक वाणिज्यिक समाधान के साथ जाना चाहते हैं। वास्तव में एक मामला है जहाँ आप और आप अपना समय कैसे बिताते हैं।