Remplacement pour NIS / YP

La société pour laquelle je travaille se lance dans le remplacement de la structure NIS / YP actuellement développée localement par LDAP.

Nous avons déjà AD en interne pour Windows et souhaitons envisager d'utiliser un système AD. Les personnes AD sont assez restrictives et ne supporteraient pas de modifications importantes.

Nous avons besoin que le remplacement inclue la prise en charge de toutes les capacités de la suite NIS / YP, notamment les netgroups, les restrictions de connexion à des serveurs spécifiques pour des utilisateurs ou des groupes d'utilisateurs spécifiques, des mots de passe cohérents entre l'environnement * nix et Windows, etc. Notre environnement est un mélange de Linux (suse, RH, Debian), Sun, IBM, HP et MPRAS ainsi qu'un NETAPP. Donc, tout ce que nous utilisons doit être totalement inclusif dans tous les environnements.

Nous avons examiné la même chose, mais notre direction souhaite que d'autres alternatives soient comparables.

Quelles autres choses dois-je considérer et quelle est votre évaluation de l'alternative?

Merci

Microsoft avait l'habitude d'avoir quelque chose appelé Services pour Unix (il est toujours là mais avec un nom différent: c'est maintenant "Subsystem for UNIX-based Applications (SUA)") - Parmi les fonctionnalités qu'il comprenait, il y avait une passerelle AD-to-NIS qui permet vous pour créer un domaine NIS qui est effectivement asservi à votre domaine AD.
C'est probablement le chemin de la moindre résistance pour vous car votre environnement Unix est hétérogène - Tout ce qui comprend NIS comprendra le serveur MS NIS, car en ce qui concerne vos systèmes Unix, il s'agit toujours d'un ancien serveur NIS.

Une autre option est pam_ldapd (ou pam_ldap + nss_ldap) - Cela interrogerait directement vos serveurs AD et échapperait à certaines des limitations de NIS, mais je ne sais pas à quel point le support de netgroup et tel est sur ces derniers (je sais pam_ldap + nss_ldap ne prend pas en charge le support de netgroup sur FreeBSD).

vous pouvez essayer freeipa ( http://freeipa.org ) des gens de redhat. Il est destiné à remplacer nis / yp et vous offre en prime un environnement kerberisé. Bien sûr, vous pouvez simplement brancher les clients avec juste pam_ldap, mais vous perdez alors la connexion unique.

Soit dit en passant, vous pouvez également synchroniser les utilisateurs avec AD.

Étant donné que vous avez déjà AD en interne, je vous recommande de considérer freeipa / Redhat IDM comme un domaine de confiance de l'annuaire actif. En plus d'être gratuit, cela vous permet d'utiliser toutes les informations existantes sur les utilisateurs et les groupes dans AD, tout en définissant les contrôles d'accès et les politiques dans ipa.

Vous obtenez également un potentiel de kerberos et sso. Dans cette configuration, l'ipa présente les groupes d'annonces sous forme de groupes de réseau (comme nis).

Il est livré avec une interface graphique agréable et un contrôle d'accès basé sur les rôles internes (par exemple, qui peut joindre des hôtes au domaine Kerberos, qui peut gérer sudo, etc.).

Tout client doit pouvoir s'authentifier auprès d'ipa ou d'AD.

Le QAS (l'une ou l'autre version) est une solution idéale à mon avis, sauf pour le coût, qui peut être fou. Cela nécessite également un changement de schéma vers AD, ce qui est bien, mais vos gars AD pourraient ne pas aimer ça.

Les versions plus récentes de winbind sont beaucoup plus stables que 3.x, mais vous obligent à avoir des politiques d'accès (sudo, ssh) configurées sur chaque hôte.

Je ne peux pas parler de centrifugation.

J'ai été dans des environnements qui utilisaient VAS (maintenant nommé quelque chose d'autre, de Quest) et Centrify. Je n'ai entretenu aucun système, je n'étais qu'un utilisateur. Donc, je ne peux pas vous aider à décider, mais ce sont d'autres noms.

D'après ce que j'ai vu, les deux fonctionnaient et répondaient tous les deux à vos exigences, bien qu'il y ait toujours eu quelques hoquets.

Winbind fonctionne très bien, en particulier avec l'option RID. Utilisez les serveurs AD comme matrices NTP pour les boîtes Unix, cela rend les choses un peu plus faciles et cela fonctionne bien. Ensuite, faites fonctionner Kerberos avec AD, c'est très simple, assurez-vous simplement que ntp fonctionne et que les clients utilisent ad pour dns. L'option RID dans winbind produira un uid prévisible pour les utilisateurs et un gid pour vos groupes. La configuration samba / winbind vous permettra de choisir un shell que tous les utilisateurs obtiendront, je ne sais pas si vous pouvez configurer pour que des utilisateurs individuels aient des shells différents, l'utilisateur peut toujours démarrer le shell qu'il veut quand il se connecte. Les restrictions de connexion peuvent être maintenues via le sshd_config, la restriction basée sur les groupes. Vous devrez commencer par les anciennes machines et Netapp pour voir si la version de samba / winbind que vous installez prend en charge l'option RID backend.