대규모 Linux 전용 네트워크에서 인증 및 사용자 관리를 어떻게 처리 하시겠습니까?

소규모 네트워크에서 수년간 리눅스를 사용하면서 큰 Windows 네트워크를 유지 관리하는 회사에서 시작했습니다. 나는 당신이 Active Directory 네트워크에 리눅스 호스트를 넣을 수는 있지만 Windows 호스트를 다룰 필요가 없다면 깔끔한 리눅스 방식으로 처리하는 방법을 알고 있습니다. 순전히 가상.

Linux 용 Active Directory와 가장 가까운 것은 FreeIPA입니다. FreeIPA는 Redhat에 의해 만들어졌으며 Linux 네트워크에 LDAP 및 Kerberos 기반 인증을 모두 제공합니다.

FreeIPA는 Linux (Fedora), 389 Directory Server, MIT Kerberos, NTP, DNS, Dogtag (인증서 시스템)를 결합한 통합 보안 정보 관리 솔루션입니다. 웹 인터페이스와 명령 줄 관리 도구로 구성됩니다.

FreeIPA는 대체로 Redhat에 불과하며 데비안 / 우분투 / 무엇이든간에 실행하려면 많은 노력이 필요합니다 ...

http://freeipa.org/page/Main_Page

LDAP 는 인터넷 프로토콜 (IP) 네트워크를 통해 분산 디렉토리 정보 서비스에 액세스하고 유지 보수하기위한 애플리케이션 프로토콜입니다.

디렉토리 서비스는 회사 이메일 디렉토리와 같은 계층 구조로 조직 된 레코드 세트를 제공 할 수 있습니다. 마찬가지로 전화 번호부는 주소와 전화 번호가있는 가입자 목록입니다.

중앙 집중식 사용자 인증이나 관리가없는 수천 대의 Linux 서버로 구성된 대규모 네트워크를 보았습니다. 모든 단일 서버에는 모두 개별적으로 유지 관리해야하는 로컬 계정 만있었습니다.

그것은 나를 울부 짖습니다. Puppet과 같은 것이 시스템 전체의 계정 동기화 부서에서 도움이 될 수 있지만 호스트를 AD 도메인에 가입시키는 데 도움이되지는 않습니다.

귀하의 질문에 FreeIPA와 같은 Linux 용 Active Directory에 대한 내용이 있다고 생각하지 않습니다. 귀하의 질문은 Linux 컴퓨터를 기존 Microsoft Active Directory에 통합하여 Windows 컴퓨터와 Linux 컴퓨터가 모두 동일한 디렉토리에 통합되어 있다는 것입니다.

이미 말했듯이 리눅스 호스트는 "여기에 몰려들 수있다"는 것을 이미 알고있다. 나는 그 비유에 동의합니다. 제 생각에는 지저분한 과정입니다.

또한 Linux 호스트에 설치 가능한 ADB (PowerBroker)와 같은 전문 솔루션이 있으며이를 AD 도메인에 훨씬 안정적으로 가입시킵니다. 일부 그룹 정책 기능도 통합합니다.

Linux 컴퓨터를 Windows 도메인에 가입하려는 대기업에서 이와 비슷한 것을 볼 수 있다고 생각합니다.

OpenLDAP + Kerberos ( MIT 또는 Heimdal )를 권장 합니다. FreeIPA와 같은 제품을 사용하는 것보다 손이 약간 더러워 지지만 성능 측면에서는 OpenLDAP를 이길 수 없습니다.

이 링크는 실제로 오래되었지만 OpenLDAP와 389 Directory Server (FreeIPA에 포함)의 성능 차이를 보여줍니다.

일부 숫자 : Fedora Directory Server 및 OpenLDAP

물론, 그 이후로 두 제품 모두 개선되었다고 확신합니다. 특히 새로운 mdb 메모리 매핑 백엔드에서 OpenLDAP의 수가 훨씬 낫다는 것을 알고 있습니다.

특히 보안을 염두에 둔 환경이 아니라면 NIS를 사용 합니다. 가볍고 많은 Unices에서 작동하며 서버 장애를 잘 처리합니다 (즉, 각 클라이언트가 여러 NIS 서버를 사용하도록 구성되어 있거나 브로드 캐스트로 여러 서버를 찾을 수있는 경우 현재 바인딩 된 서버의 장애에 대해 강력합니다). (1991 년 NIS 서버 구성을 기억하는 것처럼) 수년간 사용되어 왔기 때문에 그 특질을 잘 이해하고 있습니다.