Gestion simple et centralisée des utilisateurs sur un petit LAN - NIS ou LDAP?

12

J'installe un petit LAN pour mon équipe. Il ne sera, à toutes fins utiles, connecté à aucun réseau externe. Je voudrais qu'il ait un contrôle centralisé des comptes d'utilisateurs (au moins, je pense que j'aimerais ça; j'envisage également d'utiliser des marionnettes, donc théoriquement je pourrais simplement pousser / etc / passwd changements, ou quelque chose). Le nombre de machines est fixe, mais pas très petit. Généralement, ils sont «attachés» à un seul utilisateur, mais parfois, les gens travaillent à distance sur la boîte de quelqu'un d'autre; et il y a quelques serveurs.

J'ai lu cette question , mais mon scénario est beaucoup plus simple (encore plus simple que dans cette question ) et je voudrais faire quelque chose (relativement) rapidement, avec peu de tracas, mais pas un hack totalement insécure. NIS est-il pertinent pour mon scénario? Sinon, quel est le moyen le plus simple de configurer LDAP (ou LDAP + Kerberos) pour obtenir le même résultat?

Remarques:

  • Je n'ai aucune expérience avec la configuration de NIS ou LDAP.
  • Nous utilisons des distributions Linux à saveur Debian, principalement Kubuntu 12.04 (pas mon choix, mais c'est comme ça).
authentication user-management authorization einpoklum
la source

Réponses:

19

Je ne pense pas que quiconque utilise NIS - ou du moins, le veuille.

FreeIPA est le moyen le plus rapide et le plus simple de créer un environnement LDAP + Kerberos agréable . Il est assez facile et léger pour que je puisse même l'utiliser à la maison.

Le Guide de gestion des identités de Red Hat est une excellente introduction à FreeIPA et vous permettra de démarrer rapidement.

Notez que même si Ubuntu dispose de FreeIPA , la version 12.04 LTS est plus ancienne et peut présenter des bogues ou des fonctionnalités manquantes par rapport aux versions plus récentes.

Michael Hampton
la source
En regardant le site Web, je crains qu'il ne soit lié aux distributions RedHat'ish (RHEL, CentOS, Fedora). Est-ce vrai?
einpoklum
Il est disponible pour Debian et Ubuntu, mais pourquoi est-ce que quelqu'un les utiliserait? :)
Michael Hampton
1
Il semble mieux pris en charge sur RHEL / CentOS. Lors de la configuration de quelque chose d'aussi critique qu'un service de gestion des identités, il peut être conseillé d'utiliser la distribution la mieux prise en charge, indépendamment de ce que les ordinateurs clients utilisent, à mon humble avis.
mpontillo
@Mike: La distribution du serveur n'est pas mon choix, et je ne peux / ne veux pas utiliser un serveur dédié (ou un serveur virtuel) pour cela.
einpoklum
1
Peut-être que si c'était vraiment un petit démon. Vous avez vraiment besoin de dédier une machine (virtuelle) à cela; si vous ne pouvez pas ou ne voulez pas, vous ne devez pas utiliser FreeIPA.
Michael Hampton
3

IAR (Internet Account Replication) est ce que vous recherchez. Il s'agit principalement d'un script shell, et il est très facile à utiliser. Il utilise SSH pour le transport - pas de laideur de portmapper / RPC comme NIS, et il utilise GPG pour la vérification. Il a été utilisé en production sur Ubuntu et Redhat. Ce n'est pas LDAP, donc il n'est certainement pas destiné à tous les usages ... mais il remplace NIS pour la plupart des utilisations, et il est vraiment facile à configurer. Cela dit, je suis l'un des auteurs du hack rapide et élégant qu'est IAR, donc je pourrais être un peu partial.

Les documents, un référentiel .deb et un navigateur de code source en ligne sont disponibles sur iar.hcn-inc.com. Les RPM et un tarball peuvent être téléchargés sur sourceforge.net

Peter Fedorow
la source
Réponse intéressante, mais je ne travaille plus au même endroit donc je ne peux pas l'essayer en ce moment ...
einpoklum