Dans un grand réseau Linux uniquement, comment géreriez-vous l'authentification et la gestion des utilisateurs?

Après avoir travaillé avec Linux pendant des années dans de petits réseaux, j'ai commencé dans une entreprise qui gère de grands réseaux Windows. Je sais que vous pouvez bricoler un hôte linux sur un réseau Active Directory, mais existe-t-il une manière linux-y ordonnée de le gérer si vous n'avez pas à traiter avec des hôtes Windows. Purement hypothétique.

L'équivalent le plus proche d'Active Directory pour Linux est FreeIPA. FreeIPA est fabriqué par Redhat et fournit à la fois une authentification basée sur LDAP et Kerberos à un réseau Linux ...

FreeIPA est une solution intégrée de gestion des informations de sécurité combinant Linux (Fedora), 389 Directory Server, MIT Kerberos, NTP, DNS, Dogtag (Certificate System). Il se compose d'une interface Web et d'outils d'administration en ligne de commande.

Gardez à l'esprit que FreeIPA est en grande partie uniquement Redhat, et qu'il faudrait beaucoup de travail pour être opérationnel sur Debian / Ubuntu / peu importe ...

http://freeipa.org/page/Main_Page

LDAP est un protocole d'application permettant d'accéder aux services d'information d'annuaire distribués et de les gérer sur un réseau IP (Internet Protocol).

Les services d'annuaire peuvent fournir tout ensemble organisé d'enregistrements, souvent avec une structure hiérarchique, comme un annuaire de messagerie d'entreprise. De même, un annuaire téléphonique est une liste d'abonnés avec une adresse et un numéro de téléphone.

J'ai vu de grands réseaux de plus d'un millier de serveurs Linux sans authentification ou gestion centralisée des utilisateurs. Chaque serveur unique n'avait que des comptes locaux qui devaient tous être gérés individuellement.

Cela me fait grincer des dents. Quelque chose comme Puppet peut probablement aider dans ce département de synchronisation des comptes entre les systèmes, mais cela ne vous aidera pas à joindre les hôtes à un domaine AD.

Je ne pense pas que votre question concerne un équivalent Active Directory pour Linux, tel que FreeIPA. Je pense que votre question concerne l'intégration des hôtes Linux dans un Microsoft Active Directory existant de sorte que vos machines Windows et Linux soient toutes mélangées dans le même répertoire.

Vous savez déjà, comme vous l'avez dit, que les hôtes Linux peuvent être "bricolés". Je suis d'accord avec cette métaphore, car c'est un processus compliqué à mon avis.

Ensuite, il existe également des solutions professionnelles telles que PowerBroker (anciennement Liklike) qui est installable sur vos hôtes Linux et rend leur connexion à un domaine AD beaucoup plus fiable. Il intègre même certaines capacités de stratégie de groupe.

Je pense que vous verrez probablement quelque chose comme ça dans une grande entreprise qui veut joindre ses machines Linux à un domaine Windows.

Je recommanderais OpenLDAP + Kerberos ( MIT ou Heimdal ). Cela implique de mettre les mains un peu plus sales que vous ne le feriez avec un produit comme FreeIPA, mais en termes de performances, vous ne pouvez pas battre OpenLDAP.

Ce lien est vraiment ancien, mais il met en évidence certaines des différences de performances entre OpenLDAP et le serveur d'annuaire 389 (inclus dans FreeIPA):

Quelques chiffres: Fedora Directory Server vs OpenLDAP

Bien sûr, je suis sûr que les deux produits se sont améliorés depuis. Je sais que les chiffres d'OpenLDAP sont bien meilleurs, en particulier avec le nouveau backend mdb mappé en mémoire .

Si je n'étais pas dans un environnement particulièrement soucieux de la sécurité, j'utiliserais NIS . Il est léger, fonctionne sur de nombreux Unices, résout bien les pannes de serveur (c'est-à-dire que chaque client est configuré pour utiliser plusieurs serveurs NIS ou peut trouver plusieurs serveurs par diffusion, il est robuste contre la panne du serveur actuellement lié), et a été utilisé pendant des années (comme dans, je me souviens avoir configuré les serveurs NIS en 1991), donc ses particularités sont assez bien comprises.