Я пытаюсь найти единую схему аутентификации для серверов Linux для аутентификации в Active Directory. В основном это серверы Ubuntu и CentOS.
Что мне нужно:
Я нашел следующие альтернативы:
У меня была плохая опыт работы с аналогичным образом open в прошлом (аутентификация случайным образом блокировала вход по ssh), но я не тестировал версию с ребрендингом. Centrify Я не пробовал, но кажется многообещающим, хотя я не нашел хорошего ресурса о том, как достичь своих целей. Я предполагаю, что Winbind является наиболее настраиваемым, по крайней мере, для выполнения моей последней задачи.
Я открыт для любого решения, которое решит мою проблему, но больше всего я ищу руководство по установке, чтобы узнать, как выполнить все вышеперечисленное как в Ubuntu, так и в CentOS.
Есть ли какой-нибудь бесплатный инструмент доступен, где я могу относительно легко решить свои требования, если да, то какая для этого допустимая конфигурация?
Лучшее, что вы можете сделать, - это включить аутентификацию на уровне сети (NLA) на каждом из серверов, что потребует от пользователя ввода имени пользователя и пароля перед подключением, а можно настроить через GPO .
Чтобы добиться желаемого эффекта, может быть способ изменить время истечения срока действия билета Kerberos конкретного пользователя, предоставленного им Active Directory после входа в систему. Если нет, вы можете создать отдельного / специального пользователя -аккаунт, пароль которого периодически меняется где-то скриптом; тогда вы можете потребовать от пользователей «войти» в небольшое веб-приложение, которое при желании выдает им последний пароль.
установите tw_cli в хранилище данных (не в такие места, как / opt, потому что он не выдержит перезагрузки) и настройте ежедневное или еженедельное задание cron для выполнения чего-то вроде:ssh esxihost.example.org /vmfs/volumes/datastore1/3ware/tw_cli /c0 show all
ssh esxihost.example.org /vmfs/volumes/datastore1/3ware/tw_cli /c0 show alarms
И получите результат по электронной почте. Какой cron должен делать автоматически. Вы можете улучшить его с помощью grep и других средств, которые будут отправлять вам электронное письмо только в случае тревоги. Обязательно скопируйте свой ключ ssh, чтобы не вводить пароль. Вам придется повторить это после перезагрузки сервера ESXi.
Это дает дополнительное преимущество: вы также можете управлять рейдом с помощью инструмента tw_cli через сеанс ssh.
ssh можно довольно легко включить на ESXi 5.0 через vsphere клиент:
Или с помощью консоли:
Обратите внимание, что Ubuntu не проверена в Dell PowerEdge T310.
Ниже приведены прошивка и драйвер для вашего Broadcom BCM5716: -
Прошивка http://www.dell.com/support/drivers/us/en/19/DriverDetails/DriverFileFormats?DriverId=R319248&FileId=2731119705&productCode=poweredge-t310&urlProductCode=False [1230 http://www.dell.com/support/drivers/us/en/19/DriverDetails/DriverFileFormats?DriverId=YG02H&FileId=2731101505&productCode=poweredge-t310&urlProductCode=False [12321]. ] Winbind, вероятно, ваша лучшая проблема (это то, что у нас есть в нашей инфраструктуре).
UID / GID не обязательно будут одинаковыми от сервера к серверу, но вы должны иметь возможность управлять доступом к любым папкам / ресурсам, которые вам нужны, через Samba и использовать учетные записи домена. Что касается разрешений на вход и sudo, вы должны иметь возможность управлять ими с помощью обычных файлов access.conf и sudoers, ссылающихся на учетные записи домена Windows после настройки winbind. Я не совсем уверен в кроссмаунте домашнего каталога (не пытался это реализовать), но он поддерживается как в CentOS, так и в Ubuntu. Локальные учетные записи можно будет сохранить, и для этого не потребуется учетная запись компьютера.
Я добавил несколько ссылок ниже на ресурсы, которые могут помочь вам в реализации.