GNU/Linux >> Linux の 問題 >  >> Linux

Linux サーバーの Active Directory 認証に関する一般的な知恵は?

解決策 1:

2014 年 3 月、Red Hat は Red Hat Enterprise Server と Active Directory を統合するためのリファレンス アーキテクチャを公開しました。 (この資料は確かに最新で関連性のあるものである必要があります。) これを回答として投稿するのは嫌いですが、回答フィールドに転送するには資料が多すぎます。

このドキュメント (修正済み) は報道されていませんが、Red Hat Enterprise Linux (RHEL) 7 の新機能に焦点を当てているようです。先週のサミットで公開されました。

このリンクが古くなった場合はお知らせください。それに応じて回答を更新します。

個人的には、WinBind をかなり確実に認証に使用しています。非常にまれに、root または他のローカル アカウントを持つ誰かがログインして winbindd をバウンスする必要があるサービス障害が発生します。努力を惜しまないのであれば、おそらく適切な監視によって対処できるでしょう。

Centrify には追加機能があることに注意してください。ただし、これは別の構成管理によって提供できます。 (人形など)

2014 年 6 月 16 日編集:

Red Hat Enterprise Linux 7 Windows 統合ガイド

解決策 2:

<ブロック引用>

re:「Centrify や Likellike などの商用ソリューションは常に機能していましたが、この機能は OS に組み込まれているため不要に思えました。」

私たちのほとんどは、XYZ オペレーティング システムがついに AD 統合のパズルを解いたと何年も前から聞いていたと思います。私見の問題は、OS ベンダーにとって、AD 統合はチェックボックス機能であるということです。つまり、彼らは、そのチェックボックスを取得するためにちょっと機能するものを提供する必要があり、そのチェックボックスは通常、そのチェックボックスでのみ機能します...

<オール>
  • OS プラットフォームと
  • そのプラットフォームの現在のバージョンと
  • より新しいバージョンの Active Directory に対して。
  • 現実には、ほとんどの環境は OS ベンダーと OS バージョンの点でモノリシックではなく、古いバージョンの AD が存在します。そのため、Centrify などのベンダーは、450 以上の UNIX/Linux/Mac などをサポートする必要があります。 Windows 2000 から Windows 2012 R2 に対して、RHEL 7 だけでなく Windows 2012 R2 に対しても。

    さらに、AD の展開方法を考慮に入れる必要があります。OS ベンダーの AD 統合は、読み取り専用ドメイン コントローラー (RODC)、一方向の信頼、複数フォレストのサポートなどをサポートします。 UID を AD に移行するための移行ツールはありますか。また、OS ベンダーの AD サポートは、UID スペースがフラットでない状況で複数の UID を単一の AD にマップする機能に対応していますか?そして、どうですか...まあ、あなたはアイデアを得るでしょう.

    次に、サポートの問題があります...

    ポイントは、AD 統合は概念的には簡単に見え、ベンダーの最新 OS では「無料」である可能性があり、1 つのベンダーの OS のバージョンが 1 つだけで、最新バージョンのバニラ AD を持っている場合におそらく機能する可能性があります。発生する問題を解決するために最善を尽くす OS ベンダーとのプレミアム サポート契約。それ以外の場合は、専門のサードパーティ ソリューションを検討することをお勧めします。

    解決策 3:

    <ブロック引用>

    リモート サーバー管理ツール (RSAT) のネットワーク情報サービス (NIS) ツール オプションのサーバーは非推奨です。

    これは私にとって驚くべきことではありません -- NIS は、Sun が私たちを憎み、私たちを惨めにすることを望んでいた証拠です.

    <ブロック引用>

    ネイティブ LDAP、Samba クライアント、Kerberos、または Microsoft 以外のオプションを使用してください。

    これは良いアドバイスです。選択肢があれば、「ネイティブ LDAP を使用する (SSL 経由でお願いします)」と言うでしょう。これには多くのオプションがあります。私がよく知っているのは、pam_ldap + nss_ldap (PADL から)、または組み合わせた nss-pam- の 2 つです。 ldapd (フォークとして始まり、進行中の開発と拡張を見てきました)。

    特にRedHatについて質問しているので、RedHatがSSSDを使用して他の代替手段を提供していることは注目に値します。
    あなたの環境がすべて RedHat である場合 (または RedHat システムが多数ある場合) は、公式にサポートされている「RedHat のやり方」を調べることは確かに時間の価値があります.

    私は RedHat/SSSD の経験がないので、ドキュメントを読んでいるだけですが、非常に堅牢で適切に設計されているようです。

    解決策 4:

    提案された方法のうち、長所と短所のリストを示しましょう:

    Kerberos/LDAP を正す

    長所:適切に構成すると、うまく機能します。壊れることはめったになく、弾力性があり、ネットワークの不具合に耐えます。 AD での変更、スキーマの変更、AD への管理者アクセスは必要ありません。無料です。

    短所:構成が比較的難しい。複数のファイルを変更する必要があります。認証サーバー (Kerberos/LDAP) が利用できない場合は機能しません。

    ウィンバインド

    長所:構成が簡単です。基本的な sudo 機能。無料です。

    短所:サポートが集中します。ネットワークの回復力がありません。ネットワークに問題がある場合、Linux マシンが AD から脱落する可能性があり、サポート タスクとしてサーバーの再登録が必要になります。 AD の管理者アカウントへのアクセスが必要です。 AD でスキーマを変更する必要があるかもしれません。

    セントリファイ/ライクワイズなど

    長所:構成が比較的簡単です。

    短所:sudo 機能を独自のものに変更し、サポートが難しくなります。サーバーあたりのライセンス費用。管理するには追加のスキルが必要です。

    SSSD

    長所:1 つの構成ファイルで、簡単に構成できます。現在および将来のすべての認証方法で動作します。スケーラブルで、システムとともに成長します。切断モードで動作します。ネットワークの回復力。 AD スキーマを変更する必要はありません。 AD 管理者の資格情報は必要ありません。無料、サポートあり。

    短所:DNS の自動更新などの win サービスがありません。 CIFS 共有を構成する必要があります。

    まとめ

    長所と短所を見ると、SSSD が明らかに勝者です。新しいシステムであれば、SSSD 以外を使用する理由はありません。これは、現在のすべての認証方法で動作し、利用可能になったときに新しい方法を追加できるため、システムとともに成長できるインテグレーターです。ネイティブの Linux メソッドを使用し、はるかに信頼性が高く高速です。キャッシュがオンになっている場合、ネットワークが完全に故障している完全に切断されたシステムでも、システムは機能します。

    変更する作業が多すぎる場合は、Winbind を既存のシステムに使用できます。

    Centrify は、費用がかかる可能性のある統合に問題を抱えていました。ほとんどのバグは新しいリリースで修正されていますが、頭痛の種となるものがまだいくつかあります.

    私はこれらすべての方法を試しましたが、SSSD が明らかに勝者です。古いシステムでも、Winbind から SSSD への変換の ROI は非常に高くなります。 SSSD を使用しない特別な理由がない限り、常に SSSD を使用してください。

    解決策 5:

    これについてコメントする必要があります:

    <ブロック引用>

    Centrify には追加機能があることに注意してください。ただし、これは別の構成管理によって提供できます。 (人形など)

    Centrify を使用している人として、そのコメントがどこから来たのかわかりません。これを見ると、設定管理ツール ala Puppet では取得できない機能が大量にあることがわかります。たとえば、単一の AD アカウント (ゾーン) への複数の UID のマッピングのサポート、完全な Active Directory ドメインの信頼のサポート (3 ページの Red Hat ソリューションのドキュメントではサポートされていません) などです。

    しかし、この Red Hat ガイドに戻りましょう。 Red Hat がこれを公開していることは素晴らしいことです。オプションは優れています。基本的な AD 統合を行うための 10 のオプションが顧客に提供されることに注意してください。ほとんどのオプションは Winbind のバリエーションであり、15 ページにはそれぞれの長所と短所がリストされており、それぞれに必要な手動の手順が多数あります (対応する短所や上記の機能の欠如があります)。 Centrify Express の利点は、上記の他のコメント投稿者によると、次のとおりです。

    <オール>
  • すべての手動手順なしで簡単にインストールできます...
  • 無料で...
  • Red Hat V7 に限定されません。これは、質問が 1 つのバリアントだけでなく、Linux に関係していたため重要です。Centrify は 300 を超えるフレーバーの *nix と...
  • Windows 2008 だけでなく、Windows AD のすべてのバリアントをサポートしています。Centrify と Winbind の比較はこちらで公開されていますが、オープン ソースではありません。
  • 最終的には、自分でロールバックするか、商用ソリューションを使用するかということになります。本当にあなたがどこで、どのように時間を過ごすかが問題です。


    Linux
    1. 一般的なLinuxコマンドのチートシート

    2. Linuxでのキーベースの認証にssh-keygenと共有を使用する

    3. Linux –すべてのユーザーにとって永続的な環境変数?

    1. 初心者向けのLinuxcdコマンドチュートリアル(8例)

    2. Linux –サーバー上の共有ディレクトリのアクセス許可の問題?

    3. 初心者向けの基本的な Linux コマンドのトップ

    1. Linuxですべてのユーザーの共有ディレクトリを作成する方法

    2. 17 HP サーバー上の Linux での hpacucli コマンドの例

    3. 認証/承認に AD/Kerberos を使用する Linux サーバーにはコンピューター アカウントが必要ですか?