답변:
Active Directory의 핵심 구성 요소 중 하나는 LDAP이며 Linux에서 OpenLDAP 및 389DS (및 기타) 형식으로 제공됩니다. 또한 다른 주요 구성 요소 Kerberos는 MIT Kerberos 및 Heimdal 형식으로 제공됩니다 . 마지막으로 컴퓨터를 AD에 연결할 수도 있습니다.
sudoers규칙 이나 규칙 (또는 둘 다) 으로 관리하는 데 사용합니다 .
퍼펫을 사용하여 사용자를 관리 할 수 있습니다.
꼭두각시를 사용하여 사용자 계정을 관리하는 이유는 무엇입니까? (및 NIS, LDAP 등은 아님)
꼭두각시에서 사용자 계정을 관리하면 얻을 수있는 이점 중 하나는 분산되어 있다는 것입니다. 각 사용자 계정은 관리 서버의 일반 사용자 계정입니다. 꼭두각시 관리자가 아닌 꼭두각시가 만든 사실 이외의 사용자 계정 꼭두각시가 만드는 특별한 점은 없습니다. 이것에 대한 좋은 점은 메인 호스트가 죽더라도 인증을 잃지 않는다는 것입니다. 이는 꼭두각시 마스터 서버 (또는 NIS / LDAP 서버)에 특별한 가동 시간 요구 사항이 필요하지 않음을 의미합니다. 응급 상황이 발생하면 프로덕션 서버를 가동하는 데 집중하고 puppetmaster를 "필요한"방식으로 가동하는 데 집중할 수 있습니다. 이것의 단점은 꼭두각시가 반드시 "정상적인"로그인 사용자 계정을 관리하도록 설계되어 있지는 않다는 것입니다 (시스템 계정이 아닌). 가장 큰 방법은 꼭두각시에서 암호를 설정할 수 있지만 꼭두각시는 지속적으로 시스템 설정을 모니터링하고 (양호) 암호가 변경된 것을 알게되면 암호를 재설정합니다. (나쁜) 네트워크에서 사용자 비밀번호를 모니터링하고 싶지 않으므로 비밀번호를 설정하고 꼭두각시가이 비밀번호 모니터링을 중지하도록하는 방법이 필요합니다. 다행히도 일단 트릭을 파악하면 실제로 매우 쉽습니다. 그러나 먼저, 약간의 정의를 방해 해 봅시다.
SvenW가 언급했듯이 389DS와 Kerberos가 있습니다. RHEL 6.2 이후, Red Hat은 배포에 IPA 를 포함 시켰습니다 (따라서 CentOS에도 포함). 이것은 인증 및 권한 부여에 대한 정책 기반의 제어 및 선택적으로 DNS가 포함 된 389DS 및 Kerberos를 통합하는 완전한 ID 관리 제품군입니다. Active Directory와 단방향 또는 양방향 동기화를 위해 구성 할 수도 있습니다.
IPA는 RHEL 호스트에서 SSSD를 거의 요구하지만 그것 없이는 작동합니다. 솔라리스 10을 IPA에 연결하는 테스트도했습니다. IPA는 RHEL 호스트 설정을 매우 간단합니다.
이것은 FreeIPA 프로젝트를 기반으로합니다 .
이것은 명백한 대답 일 수 있지만 '활성 디렉토리 사용'입니다. 유닉스 특정 필드를 포함하기 위해 AD 스키마를 약간 수정해야하지만 일단 그렇게하면 플랫폼 간 작동하는 모든 사용자 계정의 단일 디렉토리가 있습니다.
아마도 유닉스 전용 상점이라면 유용하지 않을 것입니다. 그러나 실제로 많은 것을 보지 못했습니다. 그러나 AD는 실제로 LDAP 및 Kerberos의 핵심 요소를 상당히 잘 결합한 것입니다. 나는 그 아이러니 한 사실을 실제로 발견한다.
그러나 '무료로'얻을 수있는 것은 크로스 플랫폼 계정과 Kerberos 통합으로, 강력한 사용자 인증을 통해 'CIFS 인식'ACL 및 krb5i / p NFS 마운트를 적용하여 NFSv4 내보내기를 수행 할 수 있습니다.