Reemplazo para NIS / YP

8

La compañía para la que estoy trabajando se está embarcando en reemplazar la estructura actual NIS / YP desarrollada localmente con LDAP.

Ya tenemos AD en casa para las cosas de Windows y nos gustaría considerar usar un sistema AD. La gente de AD es bastante restrictiva y no admitiría modificaciones extensas.

Necesitamos que el reemplazo incluya el soporte, las capacidades completas de la suite NIS / YP incluyen grupos de red, restricciones de inicio de sesión a servidores específicos para usuarios específicos o grupos de usuarios, contraseñas consistentes entre el entorno * nix y Windows, etc. Nuestro entorno es una mezcla de Linux (suse, RH, Debian), Sun, IBM, HP y MPRAS, así como un NETAPP. Por lo tanto, cualquier cosa que usemos debe ser totalmente inclusiva para todo el entorno.

Hemos analizado Likewise, pero nuestra gerencia quiere otras alternativas para comparar.

¿Qué otras cosas debería mirar y cuál es su evaluación de la alternativa?

Gracias

linux  unix  ldap  nis  active-directory 
mdpc
fuente

Respuestas:

2

Microsoft solía tener algo llamado Servicios para Unix (todavía existe pero con un nombre diferente: ahora es "Subsistema para aplicaciones basadas en UNIX (SUA)") - Entre las características que incluía estaba una puerta de enlace de AD a NIS que permite crear un dominio NIS que esté esclavizado efectivamente a su dominio AD.
Este es probablemente el camino de menor resistencia para usted, ya que su entorno de UNIX es heterogéneo: cualquier cosa que comprenda NIS comprenderá el servidor MS NIS, porque en lo que respecta a sus sistemas Unix, sigue siendo un servidor NIS simplemente antiguo.

Otra opción es pam_ldapd (o pam_ldap + nss_ldap): esto consultaría directamente con sus servidores de AD y se alejaría de algunas de las limitaciones de NIS, pero no sé qué tan bueno es el soporte de netgroup y tal es en estos (lo sé pam_ldap + nss_ldap no tiene soporte para grupos de trabajo en FreeBSD).

voretaq7
fuente
1
Tenga cuidado con que SUA se distribuye en Win8 y Server 2012, no estará disponible después de ellos.
squareborg
@Shutupsquare Imagino que habrá un reemplazo para él (o una puerta de enlace AD ​​<--> NIS de terceros), pero sinceramente, en un entorno moderno, la integración LDAP y las extensiones POSIX a AD son realmente el camino a seguir.
voretaq7
2

puedes probar freeipa ( http://freeipa.org ) de la gente de redhat. Está destinado a reemplazar nis / yp y le brinda un entorno kerberizado como un bono. Por supuesto, puede conectar clientes con solo pam_ldap, pero pierde el inicio de sesión único.

Por cierto, también puede sincronizar usuarios con AD.

natxo asenjo
fuente
1

Dado que ya tiene AD en casa, le recomiendo considerar freeipa / Redhat IDM configurado como un dominio confiable de directorio activo. Además de ser gratuito, esto le permite utilizar toda la información existente de usuarios y grupos en AD, mientras configura los controles y políticas de acceso en ipa.

También obtienes kerberos y sso potencial. Ipa en esta configuración presenta grupos de anuncios como grupos de red (como nis).

Viene con una buena interfaz gráfica de usuario web y un control de acceso interno basado en roles (por ejemplo, quién puede unir hosts al reino kerberos, quién puede administrar sudo, etc.).

Cualquier cliente debe poder autenticarse contra ipa o AD.

QAS (cualquier versión) es una solución ideal en mi opinión, excepto por el costo, que puede ser una locura. También requiere un cambio de esquema a AD, que en sí está bien, pero a los chicos de AD no les gustará eso.

Las versiones más recientes de winbind son mucho más estables que 3.x, pero requieren que tenga políticas de acceso (sudo, ssh) configuradas en cada host.

No puedo hablar por centrify.

Andy
fuente
0

He estado en entornos que usaban VAS (ahora llamado otra cosa, de Quest) y Centrify. No mantuve ninguno de los dos sistemas, solo era un usuario. Por lo tanto, no puedo ayudarte a decidir, pero esos son algunos otros nombres.

Por lo que vi, ambos funcionaron y ambos cumplieron con los requisitos enumerados, aunque siempre hubo algunos inconvenientes.

mfinni
fuente
Mi experiencia general es que VAS es una pesadilla cuando se trata de lo que espera (empaqueta nuevos módulos PAM, Kerberos está un poco apagado), pero funciona. Sin embargo, hasta donde sé, no funcionará con NetApps.
phresus
No estoy familiarizado con VAS ... pero Centrify funciona con NetApp.
Aaron Copley
0

Winbind funciona bien, especialmente con la opción RID. Utilice los servidores AD como los equipos NTP para las cajas de Unix, hace las cosas un poco más fáciles y funciona bien. A continuación, haga que Kerberos funcione con AD, es muy simple, solo asegúrese de que ntp funcione y que los clientes usen anuncios para dns. La opción RID en winbind producirá un uid predecible para los usuarios y un gid para sus grupos. La configuración samba / winbind le permitirá elegir un shell que obtendrán todos los usuarios, no estoy seguro de si puede configurar para que los usuarios individuales tengan diferentes shells, el usuario siempre puede iniciar el shell que desee cuando inicie sesión. Las restricciones de inicio de sesión se pueden mantener a través de sshd_config, restringiendo según los grupos. Tendrá que comenzar con las máquinas más antiguas y Netapp para ver si la versión de samba / winbind que instala admite la opción RID de back-end.

tommyfun
fuente
1
¡Bienvenido a Server Fault! Realmente preferimos que las respuestas contengan contenido, no punteros al contenido. Si bien esto puede responder teóricamente la pregunta, sería preferible incluir aquí las partes esenciales de la respuesta y proporcionar el enlace para referencia.
user9517
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.