NIS / YPの代替


8

私が働いている会社は、現在ローカルで開発されているNIS / YP構造をLDAPに置き換えることに着手しています。

Windowsに関するADはすでに社内にあります。ADシステムの使用を検討したいと思います。ADの人々はかなり制限的であり、大規模な変更をサポートしません。

代替には、NIS / YPスイートの全機能を含むサポート、ネットグループ、特定のユーザーまたはユーザーグループに対する特定のサーバーへのログイン制限、* nixとWindows環境間の一貫したパスワードなどが含まれている必要があります。私たちの環境は、Linux(suse、RH、Debian)、Sun、IBM、HP、MPRAS、およびNETAPPの混合です。したがって、使用するものはすべて、すべての環境に包括的に含まれている必要があります。

同様に見てきましたが、経営陣は他の代替案と比較したいと考えています。

私は他に何を見ているべきですか、そしてあなたは代替案をどのように評価していますか?

ありがとう

回答:


2

Microsoftは以前、Services For Unixと呼ばれるものを使用していました(まだ使用されていますが、名前は異なります。現在は「UNIXベースアプリケーション用サブシステム(SUA)」になっています)。これには、AD-to-NISゲートウェイが含まれていました。 ADドメインに効果的に従属されるNISドメインを作成します。
unix環境は異機種混在であるため、これはおそらくあなたにとって最も抵抗の少ない経路です-unixシステムに関する限り、NISを理解していればMS NISサーバーを理解できます。

別のオプションはpam_ldapd(またはpam_ldap + nss_ldap)です-これはADサーバーに対して直接クエリを実行し、NISのいくつかの制限を回避しますが、これらに対するネットグループのサポートなどがどれほど優れているかわかりません(私は知っています) pam_ldap + nss_ldapは、FreeBSDで機能するネットグループをサポートしていません)。


1
SUAはWin8とServer 2012で価格が下がっているので注意してください。それ以降は使用できません。
squareborg

@Shutupsquare私はそれ(またはサードパーティのAD <-> NISゲートウェイ)に代わるものがあると想像しますが、正直なところ、最新の環境ではLDAP統合とADへのPOSIX拡張が実際の方法です。
voretaq7 2012年

2

redhatの人々からfreeipa(http://freeipa.org)を試すことができます。それはnis / ypを置き換えることを意味し、ボーナスとしてkerberized環境を提供します。もちろん、pam_ldapだけでクライアントを接続できますが、シングルサインオンは失われます。

ちなみに、ユーザーをADと同期させることもできます。


1

ADが社内に既にある場合は、freeipa / Redhat IDMをアクティブディレクトリの信頼できるドメインとして設定することを検討することをお勧めします。これは無料であることに加えて、IPAでアクセス制御とポリシーを設定しながら、ADですべての既存のユーザーとグループの情報を使用できます。

また、ケルベロスとSSOの可能性も得られます。この設定のIpaは、広告グループをネットグループ(nisなど)として表示します。

素敵なWeb GUIと、内部の役割ベースのアクセス制御(ホストをkerberosレルムに参加できる人、sudoを管理できる人など)が付属しています。

すべてのクライアントは、ipaまたはADに対して認証できる必要があります。

QAS(どちらのバージョンでも)は、私の考えでは理想的な解決策です。また、ADへのスキーマ変更も必要です。それ自体は問題ありませんが、AD担当者はそれを好まない可能性があります。

新しいバージョンのwinbindは3.xよりもはるかに安定していますが、各ホストでアクセスポリシー(sudo、ssh)を構成する必要があります。

セントリファイを話すことはできません。


0

私はVAS(現在はQuestから別の名前が付けられています)とCentrifyを使用する環境にいます。私はどちらのシステムも維持せず、私はユーザーでした。だから、私はあなたが決めるのを助けることはできませんが、それらはいくつかの他の名前です。

私が見たところ、両方とも問題なく動作し、両方ともリストされた要件を満たしましたが、常にいくつかの問題がありました。


私の一般的な経験では、VASは期待すること(新しいPAMモジュールのパッケージ化、Kerberosは少しずれている)に関しては悪夢ですが、機能します。ただし、私の知る限り、NetAppでは機能しません。
フレサス10/8/7/10

VASについては詳しくありませんが、CentrifyはNetAppで動作します。
アーロンコプリー

0

Winbindは、特にRIDオプションで正常に動作します。UNIXサーバーのNTPサーバーとしてADサーバーを使用すると、少し簡単になり、問題なく機能します。次にケルベロスをADで動作させます。これは非常に簡単です。ntpが動作していて、クライアントがdnsにadを使用していることを確認してください。winbindのRIDオプションは、ユーザーの予測可能なuidとグループのgidを生成します。samba / winbind設定では、すべてのユーザーが取得するシェルを選択できます。個々のユーザーが異なるシェルを持つように設定できるかどうかはわかりません。ユーザーは、ログイン時にいつでも好きなシェルを起動できます。ログイン制限は、グループに基づいて制限するsshd_configを通じて維持できます。インストールするsamba / winbindのバージョンがバックエンドRIDオプションをサポートしているかどうかを確認するには、古いマシンとNetappから始める必要があります。


1
サーバー障害へようこそ!回答には、コンテンツへのポインタではなくコンテンツが含まれていることをお勧めします。これは理論的には質問に答える可能性がありますが、答えの本質的な部分をここに含め、参照用のリンクを提供することが望ましいでしょう
user9517 2012
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.