หลังจากทำงานกับ linux เป็นเวลาหลายปีในเครือข่ายขนาดเล็กฉันเริ่มต้นใน บริษัท ที่ดูแลเครือข่าย windows ขนาดใหญ่ ฉันรู้ว่าคุณสามารถ cobble โฮสต์ linux บนเครือข่าย Active Directory แต่มีวิธี linux-y ที่เป็นระเบียบในการจัดการถ้าคุณไม่ต้องจัดการกับโฮสต์ Windows สมมุติฐานอย่างหมดจด
คำตอบ:
เทียบเท่ากับ Active Directory สำหรับ Linux ที่ใกล้เคียงที่สุดคือ FreeIPA FreeIPA สร้างโดย Redhat และให้ทั้งการตรวจสอบความถูกต้องด้วย LDAP และ Kerberos กับเครือข่าย Linux ...
FreeIPA เป็นโซลูชั่นการจัดการข้อมูลความปลอดภัยแบบครบวงจรที่รวม Linux (Fedora), เซิร์ฟเวอร์ไดเรกทอรี 389, MIT Kerberos, NTP, DNS, Dogtag (ระบบรับรอง) ประกอบด้วยเว็บอินเตอร์เฟสและเครื่องมือการบริหารบรรทัดคำสั่ง
โปรดจำไว้ว่า FreeIPA นั้นส่วนใหญ่จะเป็น Redhat เท่านั้นและจะใช้งานได้ดีในการใช้งาน Debian / Ubuntu / อะไรก็ตาม ...
LDAPเป็นโปรโตคอลแอปพลิเคชันสำหรับการเข้าถึงและบำรุงรักษาบริการข้อมูลไดเรกทอรีแบบกระจายผ่านเครือข่ายอินเทอร์เน็ตโปรโตคอล (IP)
บริการไดเรกทอรีอาจจัดเตรียมชุดระเบียนใด ๆ ที่มักจะมีโครงสร้างแบบลำดับชั้นเช่นไดเรกทอรีอีเมลขององค์กร ในทำนองเดียวกันสมุดโทรศัพท์เป็นรายชื่อสมาชิกที่มีที่อยู่และหมายเลขโทรศัพท์
ฉันได้เห็นเครือข่ายขนาดใหญ่ของเซิร์ฟเวอร์ลินุกซ์กว่าพันเซิร์ฟเวอร์ที่ไม่มีการตรวจสอบผู้ใช้จากส่วนกลางหรือการจัดการ เซิร์ฟเวอร์เดียวทุกเครื่องมีบัญชีภายในเครื่องเท่านั้นที่ทุกคนต้องได้รับการดูแลเป็นรายบุคคล
นั่นทำให้ฉันประจบประแจง บางอย่างเช่น Puppet อาจช่วยในแผนกการซิงโครไนซ์บัญชีข้ามระบบ แต่มันจะไม่ช่วยให้คุณเข้าร่วมโฮสต์กับโดเมนโฆษณา
ฉันไม่เชื่อว่าคำถามของคุณเกี่ยวกับ Active Directory ที่เทียบเท่ากับ Linux เช่น FreeIPA ฉันคิดว่าคำถามของคุณเกี่ยวกับการรวมโฮสต์ Linux ไว้ใน Microsoft Active Directory ที่มีอยู่เพื่อให้เครื่อง Windows และเครื่อง Linux ของคุณรวมอยู่ในไดเรกทอรีเดียวกัน
คุณรู้แล้วว่าคุณรู้แล้วว่าโฮสต์ของ Linux นั้นสามารถ "cobbled อยู่ในนั้นได้" ฉันเห็นด้วยกับคำอุปมาที่ว่ามันเป็นกระบวนการที่ยุ่งในความคิดของฉัน
จากนั้นยังมีโซลูชันระดับมืออาชีพเช่น PowerBroker (เดิมคือทำนองเดียวกัน) ที่สามารถติดตั้งบนโฮสต์ Linux ของคุณและทำให้การเข้าร่วมโดเมน AD เชื่อถือได้มากขึ้น มันยังรวมความสามารถของนโยบายกลุ่มบางอย่างเข้าด้วยกัน
ฉันคิดว่าคุณน่าจะเห็นสิ่งนี้ในองค์กรขนาดใหญ่ที่ต้องการเข้าร่วมเครื่อง Linux กับโดเมน Windows
ฉันจะแนะนำOpenLDAP + Kerberos ( MITหรือHeimdal ) มันเกี่ยวข้องกับการทำให้มือของคุณสกปรกกว่าที่คุณจะใช้ผลิตภัณฑ์อย่าง FreeIPA แต่ประสิทธิภาพที่ชาญฉลาดคุณไม่สามารถเอาชนะ OpenLDAP ได้
ลิงค์นี้จริงๆเก่า แต่มันไฮไลท์บางส่วนของความแตกต่างระหว่างประสิทธิภาพและ OpenLDAP 389 ไดเรกทอรีเซิร์ฟเวอร์ (รวมอยู่ใน FreeIPA):
บางเบอร์: เซิร์ฟเวอร์ไดเรกทอรีของ Fedora เทียบกับ OpenLDAP
แน่นอนฉันมั่นใจว่าผลิตภัณฑ์ทั้งสองได้รับการปรับปรุงตั้งแต่นั้นมา ฉันรู้ว่าตัวเลขของ OpenLDAP ดีขึ้นมากโดยเฉพาะกับแบ็กเอนด์ mdb หน่วยความจำที่แมปใหม่
ถ้าผมไม่ได้อยู่ในสภาพแวดล้อมโดยเฉพาะอย่างยิ่งที่ใส่ใจการรักษาความปลอดภัย, ฉันต้องการใช้NIS มันมีน้ำหนักเบาทำงานได้กับ Unices จำนวนมากจัดการกับความล้มเหลวของเซิร์ฟเวอร์ได้ดี (กล่าวคือหากลูกค้าแต่ละรายได้รับการกำหนดค่าให้ใช้เซิร์ฟเวอร์ NIS หลายตัวหรือสามารถค้นหาเซิร์ฟเวอร์หลายเครื่องด้วยการออกอากาศ มีการใช้งานมานานหลายปีแล้ว (เช่นเดียวกับที่ฉันจำได้ว่าตั้งค่าเซิร์ฟเวอร์ NIS ในปี 1991) ดังนั้นจึงเป็นที่เข้าใจกันดีว่า