Küçük ağlarda yıllarca linux ile çalıştıktan sonra, büyük pencere ağlarını koruyan bir şirkette başladım. Bir Active Directory ağına bir linux ana bilgisayar Arnavut kaldırımı biliyorum, ancak Windows ana bilgisayarları ile uğraşmak zorunda kalmadan bunu idare derli toplu bir linux-y yolu var. Tamamen varsayımsal.
Yanıtlar:
Linux için Active Directory'ye en yakın eşdeğer FreeIPA'dır. FreeIPA Redhat tarafından üretilmiştir ve bir Linux ağına hem LDAP hem de Kerberos tabanlı kimlik doğrulaması sağlar ...
FreeIPA, Linux (Fedora), 389 Dizin Sunucusu, MIT Kerberos, NTP, DNS, Dogtag'ı (Sertifika Sistemi) birleştiren entegre bir güvenlik bilgi yönetimi çözümüdür. Bir web arayüzü ve komut satırı yönetim araçlarından oluşur.
Unutmayın, FreeIPA büyük ölçüde Redhat'tır ve Debian / Ubuntu / üzerinde çalışmaya devam etmek için iyi bir iş gerektirir ...
LDAP , bir Internet Protokolü (IP) ağı üzerinden dağıtılmış dizin bilgi hizmetlerine erişmek ve bunları korumak için kullanılan bir uygulama protokolüdür.
Dizin hizmetleri, genellikle şirket e-posta dizini gibi hiyerarşik bir yapıya sahip herhangi bir organize kayıt kümesi sağlayabilir. Benzer şekilde, telefon rehberi, adresi ve telefon numarası olan abonelerin listesidir.
Merkezi bir kullanıcı kimlik doğrulaması veya yönetimi olmayan binden fazla Linux sunucusundan oluşan büyük ağlar gördüm. Her sunucunun, her birinin ayrı ayrı korunması gereken yalnızca yerel hesapları vardı.
Bu beni kandırıyor. Kukla gibi bir şey muhtemelen hesapları sistemlerde senkronize etme bölümünde yardımcı olabilir, ancak ana bilgisayarları bir AD etki alanına katmanıza yardımcı olmaz.
Sorunuzun Linux için FreeIPA gibi bir Active Directory eşdeğeri hakkında olduğuna inanmıyorum. Sorunuzun Linux ana bilgisayarlarını mevcut bir Microsoft Active Directory'ye entegre etmekle ilgili olduğunu düşünüyorum, böylece Windows makineleriniz ve Linux makineleriniz aynı dizinde orada olacak.
Dediğiniz gibi, Linux ana bilgisayarlarının "oraya Arnavut kaldırılabileceğini" zaten biliyorsunuz. Bence bu mecazla aynı fikirdeyim.
Daha sonra, Linux ana makinelerinize yüklenebilen ve bunları bir AD etki alanına birleştirmeyi çok daha güvenilir hale getiren PowerBroker (eski adıyla Benzer) gibi profesyonel çözümler de vardır. Hatta bazı grup politikası yetenekleri içerir.
Sanırım Linux makinelerini bir Windows alanına katılmak isteyen büyük bir kuruluşta böyle bir şey göreceksiniz.
OpenLDAP + Kerberos'u ( MIT veya Heimdal ) tavsiye ederim . FreeIPA gibi bir ürünü kullanmaktan ellerinizi biraz daha kirletmeyi içerir, ancak performans açısından OpenLDAP'i yenemezsiniz.
Bu bağlantı gerçekten eskidir, ancak OpenLDAP ve 389 Dizin sunucusu (FreeIPA'da bulunur) arasındaki performans farklılıklarından bazılarını vurgular:
Bazı Numaralar: Fedora Directory Server ve OpenLDAP
Elbette, o zamandan beri her iki ürünün de geliştiğinden eminim. OpenLDAP'in sayılarının çok daha iyi olduğunu biliyorum, özellikle yeni mdb bellek eşlemeli arka uçta .
Özellikle güvenlik bilincine sahip bir ortamda olmasaydım, NIS kullanırdım . Hafiftir, birçok Unices üzerinde çalışır, sunucu arızasıyla iyi çalışır (yani, her müşterinin birden fazla NIS sunucusu kullanacak şekilde yapılandırılması veya yayın yoluyla birden fazla sunucu bulabilmesi şartıyla, şu anda bağlı olan sunucunun başarısızlığına karşı sağlamdır) ve kullanılmaktadır yıllar onun tuhaflıklarıyla oldukça iyi anlaşılır böylece (olduğu gibi ben 1991 yılında NIS sunucuları yapılandırma unutmayın).