真のActive Directory統合の追求

tag-icon tag-icon linux active-directory sssd likewise-open
真のActive Directory統合の追求

私を笑って「Active Directory が必要な場合は Windows を使用してください」と言ったり、Google を使用するように言ったりする前に、私の話を聞いてください。

私の会社は AD に大きく依存しています。いや、現時点では AD と結びついており、Fortune 10 企業として、それは変わりません。ただし、環境には多くの *nix システム (主に RHEL と SLES) があり、アイデンティティ ソースとして Active Directory と統合するための適切なメカニズムをまだ見つけていません。少なくとも、次の機能を提供するものが必要です。

  1. AD 資格情報による認証 (ユーザーの入場を許可する)
  2. 認証後の承認(システムの領域へのユーザーアクセスを許可する)
  3. 監査(ユーザーのアクションを AD 資格情報に結び付けることができる)
  4. AD グループのサポート (単なる標準の LDAP ではなく、システム上の個々のユーザーを追加/削除する必要がある)
  5. AD の信頼に基づく重複/ミラー化された ID ソースではない (2 つの巨大なシステムは必要ありません)

私が見つけた主な解決策は次のとおりです。

  1. セントリファイ
  2. PowerBroker Open (PBIS Open、旧 Likewise-Open)
  3. SSSD+SELinux

Centrify は、とにかく見苦しいです。私はあまり好きではありません。また、私の会社のニーズでは Centrify-Express を使用できないため、無料ではなく、無制限のライセンスもありません。しかし、これは私たちが見つけた最高のソリューションであり、私は何か他のものを見つけたいと思っています。

PBIS Open は私が好む方向です。これは VMware が vShield のバックエンドで使用しているもので、非常にうまく機能します。セットアップに必要なコマンドはわずか数個で、AD グループをサポートし、二次的な ID 管理システムはなく、AD と直接通信します。私がその方法を採用しない唯一の理由は、ネイティブ ソリューションが好きで、最新のディストリビューションにすでに含まれているより優れた方法があれば、私は大賛成です。

SSSD+SELinux は素晴らしいと思いました。設定は面倒ですが、柔軟性があり、ネイティブで、ほとんどの最新ディストリビューションでサポートされています。唯一欠けているのは (私が理解している限りでは) AD グループのサポートです。多くの記事では、この機能を追加するために FreeIPA または同様のものを活用することを提案していますが、さらに読んでみると、これは要件 5 に違反しており、基本的に仲介者 ID サービスを作成します。基本的に AD を複製したり、セカンダリ ID サービスに信頼を設定したりすることには興味がありません。

私が検討した他の間に合わせのオプションには、Puppet (当社で使用) を使用して /etc/password、shadow、group ファイルをエンドポイントにプッシュすることが含まれますが、これには開発が必要であり、非常に間接的であり、何かがうまくいかなくなる可能性があります。より良いオプションは、Puppet のアイデアに SSSD+SELinux を追加することです。これにより災害は簡素化されますが、それでも災害です。

私が見逃しているものは何ですか、何を使用していますか、そして Linux AD 統合の頭痛の種を解決するために私が考慮していない「新しいホットな機能」は何ですか?

答え1

ここでのソリューションは、FreeIPA または Centrify/PowerBroker のいずれかです。FreeIPA は標準の RHEL サブスクリプションの一部であるため、すでにいくらかの節約が行われています。

FreeIPA は、すべてのユーザーとグループが Active Directory から取得できるモードで実行できます。FreeIPA では、SUDO ルール、公開 SSH キー、ホストベースのアクセス制御定義、SE Linux コンテキスト割り当てなど、POSIX 固有の環境へのユーザーとグループのマッピングのみを維持します。これを行うには、一部の AD ユーザー/グループを FreeIPA のいくつかのグループにマッピングする必要がありますが、これは情報の重複ではなく、AD 固有ではない部分で情報を修正することになります。

FreeIPA が Active Directory との互換性を実装する方法は、それ自体を Active Directory 互換のフォレストとして提示することです。クロスフォレスト信頼を介して AD ユーザーが FreeIPA リソースを使用できるようにするには十分ですが、FreeIPA ユーザーが信頼の反対側にある Windows システムにアクセスできるようにするには不十分です。最初の部分に関心があるようですので、これで問題ないはずです。

すでに RHEL 7.1 ベータ版の一部となっている FreeIPA 4.1 (うまくいけば、RHEL 7.1 は「間もなく」リリースされるでしょう) には、FreeIPA 内の AD ユーザーとグループのオーバーライドを保持する強力なメカニズムがあり、SSSD はサーバーごとの粒度でそれらすべてを検出できます。

答え2

SSSD について話すときに、「実際の AD グループ」とはどういう意味なのか、ぜひ教えてください。SSSD の新しいバージョンでは、グループに POSIX 属性が必要なく、AD プロバイダーが使用されている場合は、ほとんどの場合、TokenGroups からグループ メンバーシップを読み取ります。

また、RHEL-7.1 (アップストリーム 1.12+) では、SSSD は GPO ポリシーを使用してアクセス制御チェックを実行する機能を獲得しました。

具体的な質問がある場合は、お気軽に sssd-users リストに書き込んでください。

答え3

Redhat の提供内容については、ここで詳しく説明されています。
Linux サーバーの Active Directory 認証に関する一般的な知識は何ですか?

最近のインストールでは、これは SSSD (組み込み) と ldap または sssd.conf グループ フィルターを介して実行されました。

Linuxユーザーには具体的に何が必要なのでしょうか?するシステム上?

答え4

winbind + samba + kerberosはどうでしょうか?

  • AD 資格情報による認証 (ユーザーの入場を許可する)

チェック済み

  • 認証後の承認(システムの領域へのユーザーアクセスを許可する)

チェック済み

  • 監査(ユーザーのアクションを AD 資格情報に結び付けることができる)

/var/log/secure? チェック済み

  • AD グループのサポート (単なる標準の LDAP ではなく、システム上の個々のユーザーを追加/削除する必要がある)

ローカルグループ内の広告グループまたは広告ユーザーの両方を許可する、チェック済み

  • AD の信頼に基づく重複/ミラー化された ID ソースではない (2 つの巨大なシステムは必要ありません)

freeipaは必須ではありません、チェック済み

関連情報