ภูมิปัญญาทั่วไปเกี่ยวกับการรับรองความถูกต้องของ Active Directory สำหรับเซิร์ฟเวอร์ Linux


31

ภูมิปัญญาทั่วไปในปี 2014 เกี่ยวกับการรับรองความถูกต้องของ Active Directory / บูรณาการสำหรับเซิร์ฟเวอร์ลินุกซ์และเป็นสิ่งที่ทันสมัยระบบปฏิบัติการ Windows Server (CentOS / RHEL ที่มุ่งเน้น)?

หลายปีที่ผ่านมาตั้งแต่ความพยายามครั้งแรกของฉันกับการบูรณาการในปี 2004 ดูเหมือนว่าแนวปฏิบัติที่ดีที่สุดในรอบนี้ได้เปลี่ยนไป ฉันไม่แน่ใจว่าวิธีการใดในปัจจุบันที่มีโมเมนตัมมากที่สุด

ในสนามฉันได้เห็น:

Winbind / Samba
ตรงขึ้น LDAP
บางครั้ง LDAP + Kerberos
บริการ Microsoft Windows สำหรับ Unix (SFU)
การจัดการข้อมูลประจำตัวของ Microsoft สำหรับ Unix
NSLCD
SSSD
FreeIPA
Centrify
Powerbroker ( เช่นเดียวกัน )

Winbind ดูแย่และไม่น่าเชื่อถืออยู่เสมอ โซลูชันเชิงพาณิชย์อย่าง Centrify และ Likewise นั้นใช้งานได้ตลอด แต่ดูเหมือนไม่จำเป็นเนื่องจากความสามารถนี้ได้ถูกนำเข้าสู่ระบบปฏิบัติการ

การติดตั้งไม่กี่ครั้งล่าสุดที่ฉันทำเสร็จแล้วนั้นมีการจัดการข้อมูลประจำตัวของ Microsoft สำหรับ Unix ที่เพิ่มลงในเซิร์ฟเวอร์ Windows 2008 R2 และ NSLCD ทางด้าน Linux (สำหรับ RHEL5) สิ่งนี้ใช้ได้จนกระทั่ง RHEL6 ซึ่งการบำรุงรักษาไม่เพียงพอใน NSLCD และปัญหาการจัดการทรัพยากรหน่วยความจำบังคับให้เปลี่ยนเป็น SSSD เรดแฮทดูเหมือนจะสนับสนุนแนวทาง SSSD ดังนั้นมันก็ดีสำหรับการใช้งานของฉัน

ฉันกำลังทำงานกับการติดตั้งใหม่ที่ตัวควบคุมโดเมนเป็นระบบ Windows 2008 R2 Coreและไม่มีความสามารถในการเพิ่มคุณลักษณะการจัดการข้อมูลผู้ใช้สำหรับ Unix และฉันบอกว่าฟีเจอร์นี้เลิกใช้แล้วไม่มีอยู่ใน Windows Server 2012 R2อีกต่อไป

ประโยชน์ของการติดตั้งบทบาทนี้คือการมี GUI นี้ในขณะที่ช่วยให้การจัดการคุณลักษณะผู้ใช้ในขั้นตอนเดียวง่ายขึ้น

แต่...

ตัวเลือกเซิร์ฟเวอร์สำหรับเครื่องมือบริการข้อมูลเครือข่าย (NIS) เครื่องมือของเครื่องมือการดูแลระบบเซิร์ฟเวอร์ระยะไกล (RSAT) เลิกใช้แล้ว ใช้ LDAP ดั้งเดิม, Samba Client, Kerberos หรือตัวเลือกที่ไม่ใช่ของ Microsoft

นั่นทำให้ยากต่อการพึ่งพาถ้ามันอาจเข้ากันไม่ได้ ลูกค้าต้องการใช้ Winbind แต่ทุกสิ่งที่ฉันเห็นจาก Red Hat ชี้ไปที่การใช้ SSSD

แนวทางที่ถูกต้องคืออะไร?
คุณจัดการเรื่องนี้ในสภาพแวดล้อมของคุณได้อย่างไร?


1
จากสิ่งที่ฉันเข้าใจ RHEL 7 จะมีสองวิธีในการทำสิ่งนี้: หนึ่งผ่าน FreeIPA ที่มีความไว้วางใจข้ามโดเมนไปยัง AD และอีกทางผ่าน AD ผ่าน realmd และสิ่งที่เป็นส่วนท้ายสำหรับ (ฉันไม่มีเวลาที่จะ ดูสิ) ไม่ว่าจะด้วยวิธีใดคุณจะมีวิธีที่ได้รับการสนับสนุนในการเข้าร่วมระบบกับโดเมนจาก kickstart
Michael Hampton

1
เราใช้ Centrify สำหรับกล่อง Solaris และ RHEL มันค่อนข้างตรงไปตรงมาในการติดตั้งและมีปัญหา / ข้อร้องเรียนใช้ศูนย์โดยสุจริต
colealtdelete

2
คู่มือนี้เผยแพร่เมื่อเดือนที่แล้ว ดังนั้นควรมีข้อมูลที่เกี่ยวข้อง / เป็นปัจจุบัน
Aaron Copley

1
@AaronCopley คุณสามารถโพสต์เป็นคำตอบได้ ฉันไม่เคยเห็นคู่มือนี้มาก่อน
ewwhite

คำตอบ:


19

ในเดือนมีนาคมปี 2014 Red Hat ตีพิมพ์สถาปัตยกรรมอ้างอิงสำหรับการบูรณาการ Red Hat Enterprise Server กับ Active Directory (เนื้อหานี้ควรเป็นปัจจุบันและมีความเกี่ยวข้องอย่างแน่นอน) ฉันเกลียดที่จะโพสต์สิ่งนี้เป็นคำตอบ แต่จริงๆแล้วมันเป็นเนื้อหาที่มากเกินไปที่จะถ่ายโอนไปยังฟิลด์คำตอบ

เอกสารนี้ (แก้ไข) ร้อนแรงสื่อมวลชนดูเหมือนว่าจะมุ่งเน้นไปที่คุณสมบัติใหม่ของ Red Hat Enterprise Linux (RHEL) 7. มันถูกเผยแพร่สำหรับการประชุมสุดยอดเมื่อสัปดาห์ที่แล้ว

ลิงก์นี้ควรจะอัปเดตโปรดแจ้งให้เราทราบและฉันจะอัปเดตคำตอบตามนั้น

ฉันใช้ WinBind เป็นการส่วนตัวเพื่อความน่าเชื่อถือ มีความล้มเหลวของการบริการไม่บ่อยนักที่ต้องมีคนที่มีรูทหรือบัญชีในพื้นที่อื่น ๆ เข้ามาและเด้ง winbindd สิ่งนี้อาจถูกจัดการผ่านการตรวจสอบที่เหมาะสมหากคุณต้องการใช้ความพยายาม

เป็นที่น่าสังเกตว่า Centrify มีฟังก์ชั่นเพิ่มเติมแม้ว่าจะมีการจัดการการกำหนดค่าแยกต่างหาก (หุ่นเชิด ฯลฯ )

แก้ไข 6/16/14:

คู่มือการรวม Red Hat Enterprise Linux 7 Windows


ลิงก์ "เอกสารนี้" ดูเหมือนว่าไม่ถูกต้อง
Yolo Perdiem

คุณแน่ใจไหม? ฉันเพิ่งล้างประวัติ / แคชแล้วลองอีกครั้ง จากนั้นฉันก็ยืนยันในเบราว์เซอร์อื่น มีใครอีกไหมที่มีปัญหา? ไฟล์นี้เชื่อมโยงจากหน้านี้ภายใต้ Road to RHEL 7, การอัปเดตการทำงานร่วมกัน: Red Hat Enterprise Linux 7 เบต้า & Microsoft Windows EDIT:ฉันเห็นว่ามีเวอร์ชัน "ขั้นสุดท้าย" โพสต์แล้ว แต่ลิงค์เก่ายังใช้ได้สำหรับฉัน อัปเดตคำตอบต่อไป
Aaron Copley

ฉันไม่ได้มีปัญหาใด ๆ ฉันอ่านเอกสารและเปรียบเทียบกับสิ่งที่ฉันทำ ความไม่สอดคล้องกันเล็กน้อย ปัญหาที่ใหญ่ที่สุด: ไม่มีการกล่าวถึง Windows Server 2012 :( ดังนั้นฉันยังคงเห็นความคิดเห็นในเรื่องนั้นอยู่
ewwhite

ขออภัยฉันไม่รู้เกี่ยวกับฝั่ง Windows มากพอที่จะรู้ว่าหากมีสิ่งใดที่เกี่ยวข้องกับ 2012 และ 2008: ((นอกเหนือจากที่คุณพูดเกี่ยวกับบทบาทการจัดการข้อมูลผู้ใช้สำหรับ Unix - ซึ่งไม่จำเป็น .)
Aaron Copley

@AaronCopley บทบาทจัดเตรียมGUI การดูแลระบบเพื่อเปิดใช้งานแอตทริบิวต์ Unixตามความต้องการของผู้ใช้
ewwhite

10

Re: "โซลูชันเชิงพาณิชย์อย่าง Centrify และ Likewise นั้นใช้งานได้ตลอด แต่ดูเหมือนไม่จำเป็นเนื่องจากความสามารถนี้ได้ถูกนำเข้าสู่ระบบปฏิบัติการ"

ฉันคิดว่าพวกเราส่วนใหญ่เคยได้ยินมาหลายปีแล้วว่าระบบปฏิบัติการ XYZ ในที่สุดก็แตกปริศนาการรวมโฆษณา IMHO ปัญหาคือว่าสำหรับผู้จำหน่ายระบบปฏิบัติการการรวม AD เป็นคุณสมบัติช่องทำเครื่องหมายนั่นคือพวกเขาจำเป็นต้องส่งบางอย่างที่ sorta kinda ทำงานเพื่อรับช่องทำเครื่องหมายนั้นและโดยทั่วไปช่องทำเครื่องหมายนั้นจะทำงานบน ...

  1. แพลตฟอร์มระบบปฏิบัติการและ
  2. เวอร์ชันปัจจุบันของแพลตฟอร์มนั้นและ
  3. เทียบกับ Active Directory รุ่นที่ใหม่กว่า

ความจริงก็คือสภาพแวดล้อมส่วนใหญ่ไม่ใช่เสาหินในแง่ของผู้ขายระบบปฏิบัติการและเวอร์ชั่นของระบบปฏิบัติการและจะมีโฆษณารุ่นเก่ากว่า นั่นเป็นเหตุผลที่ผู้ขายเช่น Centrify ต้องสนับสนุน UNIX / Linux / Mac / มากกว่า 450 รสชาติ เทียบกับ Windows 2000 ถึง Windows 2012 R2 ไม่ใช่แค่ RHEL 7 อีกครั้ง Windows 2012 R2

นอกจากนี้คุณต้องคำนึงถึงปัจจัยในการปรับใช้โฆษณาของคุณดังนั้นการรวม AD โฆษณาของผู้จำหน่าย OS จึงสนับสนุน Read Only Domain Controllers (RODCs), ความน่าเชื่อถือแบบทางเดียว, ให้การสนับสนุนหลายฟอเรสต์เป็นต้นและถ้าคุณมี พื้นที่ UID ที่มีอยู่ (ซึ่งคุณจะ) มีเครื่องมือการย้ายข้อมูลเพื่อโยกย้าย UID ไปยัง AD และการสนับสนุนโฆษณาของผู้จำหน่ายระบบปฏิบัติการนั้นรองรับความสามารถในการแมป UID หลายรายการกับโฆษณาเดียวในสถานการณ์ที่พื้นที่ UID ของคุณไม่แบน และสิ่งที่เกี่ยวกับ ... คุณได้รับความคิด

ถ้างั้นก็มีคำถามเรื่องการสนับสนุน ...

ประเด็นคือการบูรณาการโฆษณาอาจดูง่ายในแนวความคิดและอาจ "ฟรี" กับระบบปฏิบัติการล่าสุดของผู้ขายและอาจทำงานได้ถ้าคุณมีระบบปฏิบัติการเพียงเวอร์ชันเดียวจากผู้ขายรายเดียวและมีโฆษณาวานิลลาที่เป็นเวอร์ชันล่าสุดและคุณมี สัญญาการสนับสนุนระดับพรีเมียมกับผู้จำหน่ายระบบปฏิบัติการที่จะพยายามอย่างดีที่สุดเพื่อแก้ไขปัญหาใด ๆ ที่จะเกิดขึ้น มิฉะนั้นคุณอาจต้องการพิจารณาโซลูชันเฉพาะของ บริษัท อื่น


+1 สำหรับสิ่งนี้; ประสบการณ์ทั่วไปของฉันคือ "พวกเขาบอกว่าใช้งานได้ แต่ไม่เคยสะอาด"
Maximus Minimus

+ ไม่มีที่สิ้นสุดกับสิ่งนี้ Centrify ยังมีรุ่น Express ที่ฟรีถ้าคุณต้องการเพียงแค่รองรับการพิสูจน์ตัวตนพื้นฐาน
Ryan Bolger

8

ตัวเลือกเซิร์ฟเวอร์สำหรับเครื่องมือบริการข้อมูลเครือข่าย (NIS) เครื่องมือของเครื่องมือการดูแลระบบเซิร์ฟเวอร์ระยะไกล (RSAT) เลิกใช้แล้ว

นี่ไม่ใช่เรื่องแปลกสำหรับฉัน - NIS เป็นหลักฐานว่าซันเกลียดเราและต้องการให้เรามีความสุข

ใช้ LDAP ดั้งเดิม, Samba Client, Kerberos หรือตัวเลือกที่ไม่ใช่ของ Microsoft

นี่คือคำแนะนำที่ดี ระบุตัวเลือกที่ฉันจะพูดว่า "ใช้ native LDAP (มากกว่า SSL โปรด)" - มีตัวเลือกมากมายสำหรับสิ่งนี้ทั้งสองฉันคุ้นเคยมากที่สุดกับการเป็นpam_ldap + nss_ldap (จาก PADL) หรือรวมnss-pam- ldapd (ซึ่งเกิดขึ้นเป็นทางแยกและได้เห็นการพัฒนาและการปรับปรุงอย่างต่อเนื่อง)


เมื่อคุณถามเกี่ยวกับ RedHat โดยเฉพาะคุณควรทราบว่าRedHat ให้ทางเลือกอื่นแก่คุณโดยใช้ SSSD
หากสภาพแวดล้อมของคุณคือ RedHat ทั้งหมด (หรือมีระบบ RedHat จำนวนมาก) มองไปที่ "RedHat Way of Doing Things" ที่ได้รับการสนับสนุนอย่างเป็นทางการจะคุ้มค่ากับเวลาของคุณ

เนื่องจากฉันไม่เคยมีประสบการณ์กับ RedHat / SSSD ด้วยตัวเองฉันแค่ไปตามเอกสาร แต่มันก็ดูแข็งแกร่งและออกแบบมาอย่างดี


6

จากวิธีที่แนะนำให้ฉันแสดงรายการข้อดีข้อเสีย:

ตรงขึ้น Kerberos / LDAP

ข้อดี: ใช้งานได้ดีเมื่อกำหนดค่าอย่างเหมาะสม ตัวแบ่งไม่ค่อยยืดหยุ่นจะอยู่รอดบกพร่องเครือข่าย ไม่ต้องการการเปลี่ยนแปลงในโฆษณาไม่มีการเปลี่ยนแปลงสคีมาไม่จำเป็นต้องมีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบสำหรับโฆษณา ฟรี.

ข้อด้อย: การกำหนดค่าค่อนข้างยาก ต้องเปลี่ยนหลายไฟล์ จะไม่ทำงานหากเซิร์ฟเวอร์การตรวจสอบความถูกต้อง (Kerberos / LDAP) ไม่พร้อมใช้งาน

winbind

จุดเด่น: ง่ายต่อการกำหนดค่า ฟังก์ชั่น sudo พื้นฐาน ฟรี.

ข้อด้อย: สนับสนุนอย่างเข้มข้น เครือข่ายไม่ยืดหยุ่น หากมีปัญหาเครือข่ายเครื่อง linux อาจหลุดออกจากโฆษณาที่ต้องลงทะเบียนเซิร์ฟเวอร์อีกครั้งซึ่งเป็นงานสนับสนุน เข้าถึงบัญชีผู้ดูแลระบบของโฆษณาที่จำเป็น อาจต้องทำการเปลี่ยนแปลงสคีมาในโฆษณา

Centrify / ทำนองเดียวกันเป็นต้น

ข้อดี: ง่ายต่อการกำหนดค่า

ข้อด้อย: เปลี่ยนฟังก์ชั่น sudo เป็นกรรมสิทธิ์ยากที่จะสนับสนุน ต้นทุนใบอนุญาตต่อเซิร์ฟเวอร์ ต้องการทักษะเพิ่มเติมในการจัดการ

SSSD

จุดเด่น: ไฟล์กำหนดค่าหนึ่งไฟล์กำหนดค่าได้ง่าย ทำงานร่วมกับวิธีการพิสูจน์ตัวตนในปัจจุบันและอนาคตทั้งหมด ปรับขนาดได้, เติบโตไปพร้อมกับระบบ จะทำงานในโหมดตัดการเชื่อมต่อ เครือข่ายมีความยืดหยุ่น ไม่จำเป็นต้องทำการเปลี่ยนแปลงใด ๆ กับสคีมา AD ไม่จำเป็นต้องมีข้อมูลประจำตัวของผู้ดูแลระบบ AD ฟรีสนับสนุน

ข้อด้อย: ไม่มีบริการที่ชนะเช่นการอัปเดตอัตโนมัติของ DNS จำเป็นต้องกำหนดค่าการแบ่งปัน CIFS

สรุป

เมื่อมองถึงข้อดีและข้อเสีย SSSD เป็นผู้ชนะที่ชัดเจน หากเป็นระบบใหม่ไม่มีเหตุผลใดที่จะใช้สิ่งอื่นนอกจาก SSSD มันเป็นผู้รวมที่ทำงานกับวิธีการตรวจสอบปัจจุบันทั้งหมดและสามารถเติบโตไปพร้อมกับระบบเพราะวิธีการใหม่สามารถเพิ่มเมื่อมี มันใช้วิธีการดั้งเดิมของ linux และเชื่อถือได้และรวดเร็วกว่ามาก หากเปิดใช้งานการแคชระบบจะทำงานได้แม้ในระบบที่ไม่ได้เชื่อมต่ออย่างสมบูรณ์กับความล้มเหลวของเครือข่ายทั้งหมด

Winbind สามารถใช้สำหรับระบบที่มีอยู่หากมีงานที่เกี่ยวข้องกับการเปลี่ยนแปลงมากเกินไป

Centrify มีปัญหาเกี่ยวกับการรวมระบบซึ่งอาจทำให้เกิดค่าใช้จ่ายสูง ข้อบกพร่องส่วนใหญ่ได้รับการแก้ไขในรุ่นใหม่ แต่ยังมีบางอย่างที่ทำให้เกิดอาการปวดหัว

ฉันได้ทำงานร่วมกับวิธีการเหล่านี้ทั้งหมดและ SSSD เป็นผู้ชนะที่ชัดเจน แม้แต่ระบบเก่าระบบ ROI สำหรับการแปลงจาก Winbind เป็น SSSD นั้นสูงมาก หากไม่มีเหตุผลเฉพาะที่จะไม่ใช้ SSSD ให้ใช้ SSSD ทุกครั้ง


SSSD รองรับการอัพเดท DNS แบบไดนามิก: access.redhat.com/documentation/en-us/red_hat_enterprise_linux/…
Jonathon Reinhart

5

มีความคิดเห็นเกี่ยวกับเรื่องนี้:

เป็นที่น่าสังเกตว่า Centrify มีฟังก์ชั่นเพิ่มเติมแม้ว่าจะมีการจัดการการกำหนดค่าแยกต่างหาก (หุ่นเชิด ฯลฯ )

ในฐานะคนที่ทำงานกับ Centrify ไม่แน่ใจว่าความคิดเห็นนั้นมาจากที่ใด ดูที่สิ่งนี้และคุณจะเห็นได้ว่ามีฟีเจอร์มากมายที่คุณไม่ได้รับด้วยเครื่องมือกำหนดค่า mgmt ala Puppet ตัวอย่างเช่นการสนับสนุนสำหรับการแมป UID หลายรายการไปยังบัญชี AD (เขตพื้นที่) เดียวสนับสนุนการเชื่อถือโดเมน Active Directory เต็มรูปแบบ (ซึ่งโซลูชันโซลูชัน Red Hat ในหน้า 3 ที่ไม่รองรับ) ฯลฯ

แต่กลับไปที่คู่มือ Red Hat นี้ เป็นเรื่องดีที่ Red Hat กำลังเผยแพร่สิ่งนี้ตัวเลือกที่ดี หมายเหตุมันให้ลูกค้า 10 ตัวเลือกในการทำ AD Integration พื้นฐาน ตัวเลือกส่วนใหญ่เป็นรูปแบบของ Winbind และหน้า 15 จะแสดงรายการข้อดีและข้อเสียของแต่ละรายการและมีขั้นตอนแบบแมนนวลที่จำเป็นสำหรับแต่ละรายการ (มีข้อเสียที่สอดคล้องกัน / ขาดการทำงานต่อไป) ข้อได้เปรียบของ Centrify Express ก็คือตามความเห็นอื่น ๆ ข้างต้นคือ:

  1. มันง่ายในการติดตั้งโดยไม่มีขั้นตอนด้วยตนเองและ ...
  2. ฟรีและ ...
  3. ไม่ จำกัด เฉพาะ Red Hat V7 ซึ่งมีความสำคัญเนื่องจากคำถามเกี่ยวข้องกับ Linux ไม่ใช่เพียงแค่ตัวแปรเดียว - Centrify รองรับมากกว่า 300 รสชาติของ * nix และ ...
  4. รองรับ Windows AD ทุกรุ่นไม่เพียง แต่ Windows 2008 พวกเขาเผยแพร่การเปรียบเทียบ Centrify vs. Winbind ที่นี่แต่ไม่ได้เปิดแหล่งที่มา

ในตอนท้ายมันจะทำให้คุณอยากม้วนตัวเองหรือใช้โซลูชันเชิงพาณิชย์ ไม่ว่าคุณจะอยู่ที่ไหนและใช้เวลาของคุณอย่างไร

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.