Streben nach echter Active Directory-Integration

Bevor Sie mich auslachen und sagen: „Wenn Sie Active Directory möchten, verwenden Sie Windows“ oder mir sagen, ich solle Google verwenden, hören Sie mich an.

Mein Unternehmen verlässt sich sehr stark auf AD. Wir sind mittlerweile fest damit verbunden und als Fortune-10-Unternehmen wird sich das auch nicht ändern. Allerdings haben wir in unserer Umgebung viele *nix-Systeme (hauptsächlich RHEL und SLES) und ich habe noch keinen guten Mechanismus für die Integration mit Active Directory als Identitätsquelle gefunden. Zumindest brauche ich etwas, das Folgendes bietet:

1. Authentifizierung über AD-Anmeldeinformationen (Benutzer hereinlassen)
2. Autorisierung nach Authentifizierung (Gewährung des Zugriffs eines Benutzers auf Bereiche des Systems)
3. Audit (Benutzeraktionen mit ihren AD-Anmeldeinformationen verknüpfen können)
4. Unterstützung für AD-Gruppen (nicht nur Standard-LDAP und die Notwendigkeit, einzelne Benutzer auf Systemen hinzuzufügen/zu entfernen)
5. Keine doppelte/gespiegelte Identitätsquelle basierend auf einem Vertrauen von AD (ich brauche keine zwei riesigen Systeme)

Die besten Lösungen, die ich gefunden habe, sind die folgenden:

1. Zentrifizieren
2. PowerBroker Open (PBIS Open, früher Likewise-Open)
3. SSSD+SELinux

Centrify ... ist einfach hässlich. Ich war noch nie ein richtiger Fan. Außerdem können wir für die Anforderungen meines Unternehmens Centrify-Express nicht verwenden, es ist also nicht kostenlos und es gibt keine unbegrenzte Lizenz. Es ist jedoch die beste Lösung, die wir gefunden haben, und ich bin verzweifelt auf der Suche nach etwas anderem.

Ich tendiere zu PBIS Open. Das ist das, was VMware im Backend von vShield verwendet, und es funktioniert ziemlich gut. Es erfordert nur wenige Befehle zur Einrichtung, es unterstützt AD-Gruppen und es gibt kein sekundäres Identitätsverwaltungssystem – es kommuniziert direkt mit AD. Der einzige Grund, warum ich diesen Weg nicht gehe, ist, dass ich native Lösungen mag, und wenn es eine bessere Möglichkeit gibt, die bereits in modernen Distributionen enthalten ist, bin ich voll dafür.

SSSD+SELinux klang großartig. Es ist zwar mühsam einzurichten, aber es ist flexibel, nativ und wird von den meisten modernen Distributionen unterstützt. Das einzige, was fehlt (soweit ich weiß), ist die Unterstützung für AD-Gruppen. Viele Artikel schlagen vor, FreeIPA oder etwas Ähnliches zu nutzen, um diese Funktionalität hinzuzufügen, aber bei genauerem Lesen verstößt dies gegen Anforderung 5 und erstellt im Grunde einen Identitätsdienst als Mittelsmann. Ich bin nicht daran interessiert, AD grundsätzlich zu duplizieren oder Vertrauen zu einem sekundären Identitätsdienst aufzubauen.

Andere Behelfsoptionen, die ich in Erwägung gezogen habe, umfassen die Verwendung von Puppet (das wir verwenden), um /etc/password,shadow,group-Dateien an Endpunkte zu übertragen, aber das erfordert Entwicklung, ist unglaublich indirekt und ich könnte mir vorstellen, dass etwas schiefgeht. Eine bessere Option wäre, SSSD+SELinux zur Puppet-Idee hinzuzufügen. Das würde das Desaster zwar vereinfachen, ist aber immer noch ein Desaster.

Was übersehe ich, was verwenden Sie und was ist der „heiße neue Knüller“, den ich zur Lösung des Problems mit der Linux AD-Integration nicht berücksichtigt habe?