在你嘲笑我说“如果你想要 Active Directory,使用 Windows”或告诉我使用 Google 之前,先听我说。
我的公司非常依赖 AD。不,我们在这一点上与之结婚,作为财富 10 强公司,这并没有改变。然而,我们的环境中有很多 *nix 系统(主要是 RHEL 和 SLES),而且我还没有找到一个很好的机制来与作为身份源的 Active Directory 集成。至少,我需要一些东西来提供以下内容:
我发现的最佳解决方案如下:
集中。. . 只是丑陋。我从来都不是真正的粉丝。另外,为了我公司的需要,我们不能使用 Centrify-Express,所以它不是免费的,也没有无限制的许可证。然而,这是我们找到的最好的解决方案,我很想找到别的东西。
PBIS Open 是我所倾向的。这是 VMware 在 vShield 后端使用的,并且运行良好。它只需要几个命令就可以设置,它支持 AD 组,并且没有辅助身份管理系统 - 它直接与 AD 对话。我不走这条路的唯一原因是我喜欢本机解决方案,如果有更好的方法来做到这一点并且已经包含在现代发行版中,我完全赞成。
SSSD+SELinux 听起来不错。设置起来很麻烦,但它是灵活的、原生的,并且受到大多数现代发行版的支持。它唯一缺乏的(据我所知)是对 AD 组的支持。许多文章建议利用 FreeIPA 或类似的东西来添加此功能,但进一步阅读后,这违反了要求 5,并且基本上创建了一个中间人身份服务。我对基本上复制 AD 或建立对辅助身份服务的信任不感兴趣。
我扔掉的其他 kludge 选项包括使用 Puppet(我们使用的)将 /etc/password、shadow、group 文件推送到端点,但这需要开发,这是非常间接的,我可以看到一些事情很糟糕。更好的选择是将 SSSD+SELinux 添加到 Puppet 的想法中。虽然它会简化灾难,但它仍然是一场灾难。
我错过了什么,你在用什么,还有什么是我没有考虑到的解决 Linux AD 集成头痛的“新热点”?