Frage Allgemeinwissen zur Active Directory-Authentifizierung für Linux-Server


Was ist die gängige Meinung im Jahr 2014 über Active Directory-Authentifizierung / -Integration für Linux-Server und modern Windows Server-Betriebssysteme (CentOS / RHEL-fokussiert)?

In den Jahren seit meinen ersten Integrationsversuchen im Jahr 2004 scheint es, als hätten sich die besten Praktiken in diesem Bereich verschoben. Ich bin mir nicht ganz sicher, welche Methode momentan am meisten Schwung hat.

Auf dem Feld habe ich gesehen:

Winbind / Samba
Geradeaus LDAP
Manchmal LDAP + Kerberos
Microsoft Windows-Dienste für Unix (SFU)
Microsoft Identity Management für Unix
NSLCD
SSSD
KostenlosIPA
Zentrifizieren
Powerbroker (geb. ebenfalls)

Winbind schien immer schrecklich und unzuverlässig. Die kommerziellen Lösungen wie Centrify und Ähnliches funktionierten immer, schienen aber unnötig zu sein, da diese Fähigkeit in das Betriebssystem eingebaut wurde.

Die letzten Installationen, die ich gemacht habe, hatten die Microsoft Identity Management für Unix Rollenfunktion hinzugefügt zu einem Windows 2008 R2 Server und NSLCD auf der Linux-Seite (für RHEL5). Dies funktionierte bis RHEL6, wo die mangelnde Wartung von NSLCD- und Speicherressourcenverwaltungsproblemen eine Änderung an SSSD erzwang. Red Hat schien auch den SSSD-Ansatz zu unterstützen, so dass es für meinen Gebrauch in Ordnung war.

Ich arbeite mit einer neuen Installation, bei der die Domänencontroller Windows 2008 R2 sind Ader Systeme und haben nicht die Möglichkeit, die Rollenfunktion Identity Management für Unix hinzuzufügen. Und mir wurde gesagt, dass diese Funktion veraltet ist, ist nein länger in Windows Server 2012 R2 vorhanden.

Der Vorteil der Installation dieser Rolle besteht in der grafischen Benutzeroberfläche, die eine einfache Verwaltung von Benutzerattributen ermöglicht.

Aber...

Die Option Server für Network Information Service (NIS) Tools von   Remoteserver-Verwaltungstools (RSAT) ist veraltet. Verwenden Sie nativ   LDAP-, Samba-Client-, Kerberos- oder Nicht-Microsoft-Optionen.

Das macht es wirklich schwierig, sich darauf zu verlassen, wenn es die Vorwärtskompatibilität bricht. Der Kunde möchte Winbind verwenden, aber alles, was ich von Red Hat sehe, weist auf die Verwendung von SSSD hin.

Was ist der richtige Ansatz?
Wie gehst du damit um? Ihre Umgebung?


29
2018-04-17 15:01


Ursprung


Von dem, was ich verstehe, wird RHEL 7 genau zwei Möglichkeiten haben: eine durch FreeIPA mit einem domänenübergreifenden Vertrauen in AD und die andere durch AD über realmd und was auch immer es ist ein Frontend für (ich habe keine Zeit dafür schau jetzt). In beiden Fällen haben Sie eine unterstützte Möglichkeit, das System direkt vom Kickstart an die Domäne anzubinden. - Michael Hampton♦
Wir verwenden Centrify für unsere Solaris- und RHEL-Boxen. Es ist ziemlich einfach zu installieren, und haben ehrlich gesagt keine Probleme / Beschwerden mit ihm. - colealtdelete
Dieser Leitfaden wurde gerade letzten Monat veröffentlicht. Als solches, es sollte enthält relevante / aktuelle Informationen. - Aaron Copley
@AaronCopley Sie können das gerne als Antwort posten. Ich habe diesen Führer vorher nicht gesehen. - ewwhite
Red Hat Enterprise Linux 7 Windows-Integrationshandbuch - Aaron Copley


Antworten:


Im März 2014 veröffentlichte Red Hat eine Referenzarchitektur für Integration von Red Hat Enterprise Server mit Active Directory. (Dieses Material sollte sicherlich aktuell und relevant sein.) Ich hasse es, dies als Antwort zu veröffentlichen, aber es ist wirklich einfach zu viel Material, um es in das Antwortfeld zu übertragen.

Dieses Dokument (korrigiert) ist brandaktuell scheint sich auf die neuen Features von Red Hat Enterprise Linux (RHEL) 7 zu konzentrieren. Es wurde letzte Woche für den Summit veröffentlicht.

Sollte dieser Link veraltet sein, lass es mich wissen und ich werde die Antwort entsprechend aktualisieren.

Ich habe WinBind persönlich ziemlich zuverlässig zur Authentifizierung verwendet. Es gibt nur sehr selten einen Dienstausfall, bei dem jemand mit root oder einem anderen lokalen Konto in winbindd wechseln muss. Dies könnte wahrscheinlich durch eine ordnungsgemäße Überwachung behandelt werden, wenn Sie sich darum bemühen.

Es ist erwähnenswert, dass Centrify zusätzliche Funktionalität bietet, obwohl dies durch ein separates Konfigurationsmanagement bereitgestellt werden kann. (Puppe, etc.)

Bearbeiten 16.06.14:

Red Hat Enterprise Linux 7 Windows-Integrationshandbuch


17
2018-04-21 20:05



Der Link "Dieses Dokument" scheint ungültig zu sein. - Yolo Perdiem
Bist du sicher? Ich habe gerade meinen Verlauf / Cache gelöscht und es erneut versucht. Dann habe ich es sogar in einem anderen Browser bestätigt. Hat jemand andere Probleme? Die Datei ist verlinkt von diese Seite, unter Road to RHEL 7, Interoperabilitäts-Update: Red Hat Enterprise Linux 7 Beta & Microsoft Windows  BEARBEITEN: Ich sehe, es gibt jetzt eine "endgültige" Version, aber der alte Link funktioniert immer noch für mich? Die Antwort wird trotzdem aktualisiert. - Aaron Copley
Ich hatte keine Probleme. Ich habe das Dokument gelesen und sogar verglichen mit dem, was ich gemacht habe. Ein paar Inkonsistenzen. Das größte Problem: Es gibt NEIN Erwähnung von Windows Server 2012 :( So sehe ich immer noch eine Meinung dazu. - ewwhite
Entschuldigung, ich weiß nicht genug über die Windows-Seite, um zu wissen, was passiert, wenn es Auswirkungen auf 2012 gegenüber 2008 gibt. :( (Anders als das, was Sie über Identity Management für Unix-Rolle gesagt haben - was nicht notwendig zu sein scheint .) - Aaron Copley
@AaronCopley Die Rolle bietet ein Administrative GUI zum Aktivieren von Unix-Attributen auf einer Benutzer-Basis. - ewwhite


re: "Die kommerziellen Lösungen wie Centrify und Ähnliches haben immer funktioniert, aber es schien unnötig, da diese Fähigkeit in das Betriebssystem eingebaut wird."

Nun, ich denke, die meisten von uns hören seit Jahren, dass das XYZ-Betriebssystem endlich das AD-Integrationspuzzle knackt. IMHO das Problem ist, dass für den OS-Anbieter, AD-Integration ist eine Checkbox-Funktion, d. H. Sie müssen etwas liefern, das irgendwie funktioniert, um dieses Kontrollkästchen zu bekommen, und das Kontrollkästchen funktioniert in der Regel nur ...

  1. ihre OS-Plattform und
  2. die aktuelle Version dieser Plattform und
  3. gegen eine neuere Version von Active Directory.

Die Realität ist, dass die meisten Umgebungen hinsichtlich Betriebssystemhersteller und Betriebssystemversion nicht monolithisch sind und ältere Versionen von AD haben werden. Aus diesem Grund muss ein Hersteller wie Centrify mehr als 450 Varianten von UNIX / Linux / Mac / etc unterstützen. gegen Windows 2000 zu Windows 2012 R2, nicht nur RHEL 7 wieder Windows 2012 R2.

Darüber hinaus müssen Sie berücksichtigen, wie Ihr AD bereitgestellt wird. Die AD-Integration des Betriebssystemanbieters unterstützt Read Only Domain Controllers (RODCs), One-Way-Trusts, Multi-Forest-Unterstützung usw. Und was ist, wenn Sie vorhandener UID-Speicherplatz (was Sie tun werden), gibt es Migrationstools zum Migrieren der UIDs in AD. Und unterstützt die AD-Unterstützung des Betriebssystemanbieters die Fähigkeit, mehrere UIDs einem einzelnen AD in Situationen zuzuordnen, in denen der UID-Platz nicht flach ist. Und was ist mit ... naja, Sie haben die Idee.

Dann gibt es die Frage der Unterstützung ...

Punkt ist AD-Integration mag konzeptionell einfach erscheinen und kann mit dem neuesten Betriebssystem eines Anbieters "frei" sein und kann wahrscheinlich funktionieren, wenn Sie nur eine Version eines Betriebssystems von einem Hersteller haben und eine Vanilla-AD haben, die die neueste Version ist ein Premium-Supportvertrag mit dem Betriebssystemanbieter, der sein Bestes geben wird, um auftretende Probleme zu beheben. Andernfalls sollten Sie eine spezielle Lösung von Drittanbietern in Betracht ziehen.


9
2018-04-17 22:05



+1 dafür; Meine allgemeine Erfahrung ist "sie sagen, es funktioniert, aber es ist nie sauber". - Maximus Minimus
+ Unendlichkeit zu diesem. Centrify hat sogar ihre Express-Version, die kostenlos ist, wenn Sie nur grundlegende Authentifizierungsunterstützung benötigen. - Ryan Bolger


Die Option für den Server für Network Information Service (NIS) -Tools der Remoteserver-Verwaltungstools (RSAT) ist veraltet.

Das ist für mich keine Überraschung - NIS ist der Beweis dafür, dass Sun uns hasste und wollte, dass wir unglücklich sind.

Verwenden Sie native LDAP-, Samba Client-, Kerberos- oder Nicht-Microsoft-Optionen.

Das ist ein guter Rat. Angesichts der Wahlmöglichkeiten würde ich sagen: "Nutze natives LDAP (bitte über SSL)" - dafür gibt es viele Möglichkeiten, die beiden, die mir am vertrautesten sind Pam_ldap + nss_ldap (von PADL), oder die Kombination nss-pam-ldapd (die als Gabelung entstanden ist und laufende Entwicklung und Erweiterungen gesehen hat).


Da Sie gerade nach RedHat fragen, ist es das wert RedHat bietet Ihnen andere Alternativen SSSD verwenden.
Wenn Ihre Umgebung nur aus RedHat besteht (oder nur eine große Anzahl von RedHat-Systemen hat), wäre es sicherlich Ihre Zeit wert, in den offiziell unterstützten "RedHat Way of Doing Things" zu schauen.

Da ich selbst keine Erfahrung mit RedHat / SSSD habe, gehe ich nur nach der Dokumentation, aber es sieht recht robust und gut aus.


7
2018-04-17 21:54





Dazu muss ich folgendes kommentieren:

Es ist erwähnenswert, dass Centrify zusätzliche Funktionalität bietet, obwohl dies durch ein separates Konfigurationsmanagement bereitgestellt werden kann. (Puppe, etc.)

Da jemand, der mit Centrify arbeitet, nicht sicher ist, woher dieser Kommentar stammt. Ansehen diese und Sie können sehen, dass es eine Bootsladung von Funktionen gibt, die Sie nicht mit einem Config Mgmt Tool ala Puppet bekommen. Beispielsweise Unterstützung für die Zuordnung mehrerer UIDs zu einem einzelnen AD-Konto (Zonen), Unterstützung für vollständige Active Directory-Domänenvertrauensstellungen (die die Red Hat-Lösung auf Seite 3 dokumentiert, die sie nicht unterstützt) usw.

Aber zurück zu diesem Red Hat Guide. Es ist großartig, dass Red Hat dies veröffentlicht, die Optionen sind gut. Beachten Sie, dass der Kunde 10 Optionen für die grundlegende AD-Integration erhält. Die meisten Optionen sind Variationen von Winbind, und Seite 15 listet die Vor- und Nachteile von jedem auf, und es gibt eine Reihe von manuellen Schritten, die für jedes erforderlich sind (mit entsprechenden Nachteilen / Mangel an Funktionalität wie oben). Der Vorteil von Centrify Express ist, dass die anderen Kommentatoren wie folgt lauten:

  1. es ist einfach zu installieren, ohne alle manuellen Schritte und ...
  2. ist kostenlos und ...
  3. ist nicht auf Red Hat V7 beschränkt, was wichtig ist, da die Frage mit Linux zu tun hatte, nicht nur eine Variante - Centrify unterstützt über 300 Varianten von * nix und ...
  4. unterstützt alle Varianten von Windows AD, nicht nur Windows 2008. Sie haben einen Vergleich von Centrify vs. Winbind veröffentlicht Hier, aber es ist keine Open Source.

Am Ende läuft es darauf hinaus, dass Sie es selbst rollen oder mit einer kommerziellen Lösung gehen wollen. Wirklich eine Frage, wo du und wie du deine Zeit verbringst.


4
2018-04-26 18:23





Lassen Sie mich von den vorgeschlagenen Methoden eine Pro / Contra-Liste geben:

Einfaches Kerberos / LDAP

Vorteile: Funktioniert gut, wenn sie richtig konfiguriert ist. Selten bricht, belastbar, wird Netzwerkstörungen überleben. In AD sind keine Änderungen erforderlich, keine Schemaänderung, kein Administratorzugriff auf AD. Kostenlos.

Nachteile: Relativ schwer zu konfigurieren. Mehrere Dateien müssen geändert werden. Funktioniert nicht, wenn der Authentifizierungsserver (Kerberos / LDAP) nicht verfügbar ist.

Winbind

Vorteile: Einfach zu konfigurieren. Grundlegende Sudo-Funktionalität. Kostenlos.

Nachteile: Support intensiv. Nicht netzwerkfähig. Wenn es ein Netzwerkproblem gibt, könnten Linux-Maschinen aus dem AD herausfallen, was eine erneute Registrierung des Servers erforderlich macht, eine Support-Aufgabe. Zugriff auf Administratorkonto von AD erforderlich. Könnte zu Schemaänderungen in AD führen.

Centrify / Gleichartig etc.

Vorteile: Relativ einfach zu konfigurieren.

Nachteile: Ändert die sudo-Funktionalität zu proprietär, schwieriger zu unterstützen. Lizenzkosten pro Server Brauche zusätzliche Fähigkeiten zu verwalten.

SSSD

Vorteile: Eine Konfigurationsdatei, einfach zu konfigurieren. Funktioniert mit allen gegenwärtigen und zukünftigen Authentifizierungsmethoden. Skalierbar, wächst mit dem System. Funktioniert im getrennten Modus. Netzwerkfähig. Keine Änderung des AD-Schemas erforderlich. Keine Notwendigkeit für AD-Administrator-Anmeldeinformationen. Kostenlos, unterstützt.

Nachteile: Hat keine Win-Dienste wie automatische Updates von DNS. Sie müssen CIFS-Freigaben konfigurieren.

Zusammenfassung

Betrachtet man Vor- und Nachteile, ist SSSD der klare Gewinner. Wenn es sich um ein neues System handelt, gibt es keinen Grund, etwas anderes als SSSD zu verwenden. Es ist ein Integrator, der mit allen vorhandenen Authentifizierungsmethoden arbeitet und mit dem System wachsen kann, da neue Methoden hinzugefügt werden können, wenn sie verfügbar sind. Es verwendet native Linux-Methoden und ist viel zuverlässiger und schneller. Wenn Caching aktiviert ist, funktionieren die Systeme auch in vollständig getrennten Systemen mit vollständigem Netzwerkausfall.

Winbind kann für bestehende Systeme verwendet werden, wenn zu viel Arbeit an Änderungen beteiligt ist.

Centrify hatte Probleme mit der Integration, die teuer werden könnten. Die meisten Fehler sind in der neuen Version behoben, aber es gibt immer noch einige, die Kopfschmerzen verursachen.

Ich habe mit all diesen Methoden gearbeitet und SSSD ist der klare Gewinner. Selbst für ältere Systeme ist der ROI für die Konvertierung von Winbind zu SSSD sehr hoch. Wenn es keinen bestimmten Grund gibt, SSSD nicht zu verwenden, verwenden Sie immer SSSD.


3
2018-05-26 20:25