Samba 4 是 FreeIPA 的良好替代品嗎?
我們的目標是在一個小型區域網路上建立一個文件伺服器/列印伺服器。為了解決我們遇到的文件權限問題和訪問問題,我們認為一種 LDAP 解決方案應該是其中的一部分。我們正在考慮的兩個解決方案是:
- Samba 4,(我相信)包括網路文件共享、目錄管理和列印機共享功能。
- NFS + Kerberos + Avahi + CUPS 很可能建立在 FreeIPA 伺服器上。
首先,我們是否正確理解了替代方案?
在幾乎完全由 Arch Linux 客戶端組成的區域網路中,Samba 4 是選項 2(帶有 NFS v4、Kerberos、CUPS、Avahai 等的 FreeIPA)的一個很好的替代品嗎?
我們正在尋找一種非常簡單的身份驗證、安全文件共享和列印機共享解決方案。推薦使用普通的 Kerberos + LDAP + NFSv4(沒有 FreeIPA),但這對我們來說似乎太複雜了。因此,我們考慮使用 FreeIPA 或 Samba 的原因。
NIS 也可能是一個選項(連同 NFS 等)。但是 NIS 很舊而且不是很安全。然而,這很簡單。Samba 4 看起來也很簡單,而且更安全、更現代。
Samba 4 的功能與圍繞 FreeIPA、NFS、LDAP、Kerberos 建構的系統相比是否具有競爭力(在網路文件系統安全性和身份驗證方面)?
客戶端幾乎完全是 Arch Linux。如果我們執行 Samba 4 或 NIS,伺服器可能是 Arch。(我們更喜歡 Arch。)如果我們使用 FreeIPA,伺服器必須是 Ubuntu、Red Hat、Fedora 或 CentOS。
如果我們使用 FreeIPA,我們公司願意購買帶有高級支持的 Red Hat。這裡沒有人對紅帽一無所知。但是,讓 Arch Linux 客戶端使用 Samba 4 作為目錄服務會更容易嗎?
所以有兩個問題:
- Samba 4 整體上是 FreeIPA+NFS+LDAP+Kerberos 的一個很好的替代品嗎?
- 對於所有 Arch Linux 客戶端,哪種替代方案(基於 FreeIPA 或基於 Samba 4)將具有最好的兼容性和最少的麻煩?
首先,讓我說,無論您選擇 Samba4 還是 FreeIPA,您都在為“一個”文件/列印伺服器設置很多移動元件。
您可以將 Samba4 用作文件/列印伺服器,而不是域控制器,並讓它保留一個本地使用者列表以進行身份驗證。這只需要一個虛擬機和一堆儲存空間,但這意味著您會失去諸如自助密碼重置之類的東西,而您會在實際域中獲得類似的東西。
FreeIPA 是一個功能齊全的身份、策略和審計解決方案。它本身並不提供文件或列印機服務,但它使文件和列印服務能夠駐留在域中,對其進行身份驗證等。它還管理所有加入域的電腦,在你的例子中是一堆執行 Arch Linux 的機器。完整的功能列表非常廣泛,如果您想要除了文件/列印服務之外的部分或全部功能,那麼 FreeIPA 就是您的最佳選擇。
如果你走這條路,我會推薦 Fedora 或 RHEL/CentOS 作為 FreeIPA 的伺服器基礎。它是在這些平台上開發的,Debian/Ubuntu 有點次要。Red Hat 文件應該足以讓您啟動和執行。
特別是,如果您使用 Arch 是因為您的環境中需要最新的軟體,您可能會更喜歡Fedora 作為伺服器,它會嘗試做同樣的事情。您會發現它們之間有很多相似之處,例如與 systemd 相關的任何事情,並且它們之間的差異並不難解決。