Вопросы Теги

Интеграция (Authn & Authz) с Active Directory в Linux [закрыто]

Я пытаюсь найти единую схему аутентификации для серверов Linux для аутентификации в Active Directory. В основном это серверы Ubuntu и CentOS.

Что мне нужно:

  • Бесплатное стабильное решение
  • Унифицированный UID / GID, такой, что права доступа к папке одинаковы, независимо от того, с какого сервера она подключена.
  • Поддержка рекурсивных групп и сопоставления групп ( Э.G разрешения sudo и разрешения на вход, такие, что только члены группы X могут входить в систему)
  • Перекрестное подключение домашнего каталога, чтобы домашний каталог перекрестно монтировался между серверами для единой работы
  • Унифицированная поддержка по крайней мере для Ubuntu и CentOS (в идеале любой вариант)
  • Сохраняйте локальные учетные записи (как минимум, root)
  • В идеале, решение, которое не требует учетной записи компьютера, а просто аутентифицируется с помощью привязки LDAP, а затем выполняет групповой поиск для авторизации (не зная как это повлияет на другие требования)

Я нашел следующие альтернативы:

  • PowerBroker® Identity Services Open Edition (ранее - Likewise Open)
  • Centrify Express
  • Winbind

У меня была плохая опыт работы с аналогичным образом open в прошлом (аутентификация случайным образом блокировала вход по ssh), но я не тестировал версию с ребрендингом. Centrify Я не пробовал, но кажется многообещающим, хотя я не нашел хорошего ресурса о том, как достичь своих целей. Я предполагаю, что Winbind является наиболее настраиваемым, по крайней мере, для выполнения моей последней задачи.

Я открыт для любого решения, которое решит мою проблему, но больше всего я ищу руководство по установке, чтобы узнать, как выполнить все вышеперечисленное как в Ubuntu, так и в CentOS.

Есть ли какой-нибудь бесплатный инструмент доступен, где я могу относительно легко решить свои требования, если да, то какая для этого допустимая конфигурация?

2
задан 4 May 2012 в 10:43
2 ответа

Лучшее, что вы можете сделать, - это включить аутентификацию на уровне сети (NLA) на каждом из серверов, что потребует от пользователя ввода имени пользователя и пароля перед подключением, а можно настроить через GPO .

Чтобы добиться желаемого эффекта, может быть способ изменить время истечения срока действия билета Kerberos конкретного пользователя, предоставленного им Active Directory после входа в систему. Если нет, вы можете создать отдельного / специального пользователя -аккаунт, пароль которого периодически меняется где-то скриптом; тогда вы можете потребовать от пользователей «войти» в небольшое веб-приложение, которое при желании выдает им последний пароль.

установите tw_cli в хранилище данных (не в такие места, как / opt, потому что он не выдержит перезагрузки) и настройте ежедневное или еженедельное задание cron для выполнения чего-то вроде: 

ssh esxihost.example.org /vmfs/volumes/datastore1/3ware/tw_cli /c0 show all
ssh esxihost.example.org /vmfs/volumes/datastore1/3ware/tw_cli /c0 show alarms

И получите результат по электронной почте. Какой cron должен делать автоматически. Вы можете улучшить его с помощью grep и других средств, которые будут отправлять вам электронное письмо только в случае тревоги. Обязательно скопируйте свой ключ ssh, чтобы не вводить пароль. Вам придется повторить это после перезагрузки сервера ESXi.

Это дает дополнительное преимущество: вы также можете управлять рейдом с помощью инструмента tw_cli через сеанс ssh.

ssh можно довольно легко включить на ESXi 5.0 через vsphere клиент:

Или с помощью консоли:

3
ответ дан 3 December 2019 в 10:57

Изучили ли вы, удовлетворяет ли FreeIPA вашим потребностям? Также проверьте эту ссылку .

0
ответ дан 3 December 2019 в 10:57

Теги

Похожие вопросы