Центральная аутентификация для Windows, Linux, сетевых устройств
Я пытаюсь найти способ централизовать управление пользователями и аутентификацию для большой коллекции серверов Windows и Linux, включая сетевые устройства (Cisco, HP, Juniper). Варианты включают RADIUS/LDAP/TACACS/... Идея состоит в том, чтобы отслеживать изменения персонала и доступ к этим устройствам.
Предпочтительно система, которая совместима как с Linux, Windows, так и с этими сетевыми устройствами. Похоже, что Windows - самая упрямая из всех, для Linux и сетевого оборудования проще внедрить решение (например, с использованием PAM.D).
Стоит ли искать решение Active Directory/Domain Controller для Windows? Fun sidenote; мы также управляем клиентскими системами, которые часто уже находятся в домене. Доверительные отношения между контроллерами домена для нас не всегда возможны (из-за ограничений безопасности клиента).
Мне бы очень хотелось услышать свежие идеи о том, как реализовать такой "портал" централизованной аутентификации для этих систем.
5 ответов
Для этого есть решение. Это называется KerberosV5. Он делает все, что вам нужно, и есть хорошая поддержка со стороны Windows, Linux, Unix и сетевых устройств. Посмотри на это.
Множество вещей может аутентифицироваться на домене AD напрямую, используя Kerberos.
Вы можете управлять авторизацией, используя ldap, если вы включаете анонимные привязки на серверах AD.
Вы также можете настроить сервер AD как сервер NIS. Я нахожусь в процессе, и это не кажется тривиальным, но это также не кажется действительно трудным. NIS + Kerberos аккуратно решает проблему устаревших систем, которые могут не иметь модулей pam_ldap напрямую.
Наконец, вы можете использовать сервер AD в качестве сервера RADIUS, который аккуратно решает проблему "доступа к случайным сетевым устройствам / устройствам RAS".
Я в основном парень из Unix, и многие настройки, которые вам нужно выполнить на сервере AD, чтобы заставить его выполнять эти вещи, разочаровывают, но с такими универсальными покупками, которые вы получаете с AD, действительно трудно спорить. Возможно, за эти годы у Microsoft было много неприятностей, но Active Directory - действительно фантастическая технология.
Спасибо за ответ на Kerberos V5, это выглядит многообещающе.
Другим инструментом, разработанным Microsoft, является Forefront Identity Manager (FIM), который позволяет идентифицировать управление, не размещая серверы в домене.
http://www.microsoft.com/forefront/identitymanager/en/us/default.aspx
http://kbase.redhat.com/faq/docs/DOC-4735
http://kbase.redhat.com/faq/docs/DOC-3639
выше у kbase doc есть пример, который может помочь!!
Я настаиваю на том, чтобы публиковать предложения для коммерческого инструмента, но здесь мы идем... FoxT "BoKS Access Control" предлагает вам детальный контроль над учетными записями пользователей и разрешениями доступа к сети для систем Unix, Linux, VMWare и Windows.
К сожалению, он не поддерживает сетевое оборудование.