關於 Linux 伺服器的 Active Directory 身份驗證的常識?
2014 年關於 Linux 伺服器和現代Windows Server 作業系統(以 CentOS/RHEL 為重點)的 Active Directory 身份驗證/集成的普遍看法是什麼?
自 2004 年我第一次嘗試集成以來,這些年來,圍繞此的最佳實踐似乎已經發生了變化。我不太確定目前哪種方法最有動力。
在現場,我見過:
Straight-up LDAP
有時 LDAP + Kerberos
Microsoft Windows Services for Unix (SFU)
Microsoft Identity Management for Unix
NSLCD
Winbind 總是看起來很糟糕而且不可靠。Centrify 和 Similar 等商業解決方案始終有效,但似乎沒有必要,因為此功能已融入作業系統。
我完成的最後幾次安裝將Microsoft Identity Management for Unix角色功能添加到 Windows 2008 R2 伺服器和 Linux 端的 NSLCD(用於 RHEL5)。這一直有效,直到 RHEL6,在 NSLCD 上缺乏維護和記憶體資源管理問題迫使更改為 SSSD。Red Hat 似乎也支持 SSSD 方法,所以這對我來說很好用。
我正在使用新安裝,其中域控制器是 Windows 2008 R2核心系統,並且沒有能力為 Unix 角色添加身份管理功能。我被告知,此功能已棄用,Windows Server 2012 R2 中不再存在此功能。
安裝這個角色的好處是這個 GUI 的存在,同時允許簡單的一步管理使用者屬性。
但…
遠端伺服器管理工具 (RSAT) 的網路資訊服務 (NIS) 工具伺服器選項已棄用。使用本機 LDAP、Samba 客戶端、Kerberos 或非 Microsoft 選項。
如果它可能會破壞前向兼容性,那麼它真的很難依賴。客戶想使用Winbind,但我從Red Hat方面看到的一切都指向使用SSSD。
什麼是正確的方法?
你如何在你的環境中處理這個問題?
2014 年 3 月,紅帽發布了用於將紅帽企業伺服器與 Active Directory 集成的參考架構。(這個材料當然應該是最新的和相關的。)我不想把它作為答案發布,但它真的是太多的材料轉移到答案領域。
該文件(已更正)在媒體上很熱門,似乎關注 Red Hat Enterprise Linux (RHEL) 7 的新功能。它是為上週的峰會發布的。
如果此連結過時,請告訴我,我會相應地更新答案。
我個人相當可靠地使用 WinBind 進行身份驗證。很少有服務失敗需要擁有root或其他本地帳戶的人進入並反彈winbindd。如果您願意付出努力,這可能可以通過適當的監控來解決。
值得注意的是,Centrify 確實具有其他功能,儘管這可以通過單獨的配置管理來提供。(木偶等)
2014 年 6 月 16 日編輯: