適用於 Windows、Linux、網路設備的中央身份驗證
我正在嘗試為大量 Windows 和 Linux 伺服器(包括網路設備(Cisco、HP、Juniper))找到一種集中使用者管理和身份驗證的方法。選項包括 RADIUS/LDAP/TACACS/… 想法是跟踪員工變動以及對這些設備的訪問。
最好是與 Linux、Windows 和那些網路設備兼容的系統。似乎 Windows 是其中最頑固的,對於 Linux 和網路設備,實現解決方案更容易(例如使用 PAM.D)。
我們是否應該尋找適用於 Windows 的 Active Directory/域控制器解決方案?有趣的旁注;我們還管理通常已經在域中的客戶端系統。域控制器之間的信任關係並不總是我們的選擇(由於客戶端安全限制)。
我很想听聽有關如何為這些系統實施這種集中式身份驗證“門戶”的新想法。
有一個解決方案。它被稱為 KerberosV5。它可以滿足您的所有需求,並且得到 Windows、Linux、Unix 和網路設備的良好支持。看看它。
很多東西可以直接使用 kerberos 對 AD 域進行身份驗證。
如果您在 AD 伺服器上啟用匿名綁定,則可以使用 ldap 管理授權。
您還可以將 AD 伺服器配置為 NIS 伺服器。我正在這樣做,這似乎並不簡單,但似乎也並不難。NIS + Kerberos 巧妙地解決了可能沒有直接 pam_ldap 模組的過時系統的問題。
最後,您可以使用 AD 伺服器作為 RADIUS 伺服器,巧妙地解決了“訪問隨機網路/RAS 設備”的問題。
我主要是一個 unix 人,你需要在 AD 伺服器上做很多配置才能讓它做這些事情是令人沮喪的,但是你用 AD 獲得的一站式購物*真的很難爭論。*多年來,Microsoft 可能遇到了很多問題,但 Active Directory 確實是一項了不起的技術。