진정한 Active Directory 통합 추구

tag-icon tag-icon linux active-directory sssd likewise-open
진정한 Active Directory 통합 추구

나를 비웃으며 "Active Directory를 원하면 Windows를 사용하세요"라고 말하거나 Google을 사용하라고 말하기 전에 내 말을 들어보세요.

우리 회사는 AD에 크게 의존하고 있습니다. 아니, 우리는 이 시점에서 그것과 결혼했고 Fortune 10대 기업으로서 그것은 변하지 않습니다. 그러나 우리 환경에는 많은 *nix 시스템(주로 RHEL 및 SLES)이 있으며 Active Directory를 ID 소스로 통합하기 위한 좋은 메커니즘을 아직 찾지 못했습니다. 최소한 다음을 제공할 수 있는 것이 필요합니다.

  1. AD 자격 증명을 통한 인증(사용자를 문 안으로 들여보내기)
  2. 인증되면 권한 부여(사용자에게 시스템 영역에 대한 액세스 권한 부여)
  3. 감사(사용자 작업을 AD 자격 증명에 다시 연결할 수 있음)
  4. AD 그룹 지원(바닐라 LDAP뿐만 아니라 시스템에서 개별 사용자를 추가/제거해야 함)
  5. AD의 신뢰를 기반으로 한 중복/미러 ID 소스가 아님(두 개의 거대한 시스템이 필요하지 않음)

내가 찾은 최고의 솔루션은 다음과 같습니다.

  1. 원심화
  2. PowerBroker Open(PBIS Open, 이전에는 Like-Open)
  3. SSSD+SELinux

원심화 . . . 그냥 못생겼어요. 나는 진정한 팬이 된 적이 없습니다. 또한 우리 회사의 요구에 따라 Centrify-Express를 사용할 수 없으므로 무료가 아니며 무제한 라이센스도 없습니다. 그러나 이것이 우리가 찾은 최고의 솔루션이므로 필사적으로 다른 솔루션을 찾고 싶습니다.

PBIS Open이 제가 기대하고 있는 것입니다. 이는 VMware가 vShield의 백엔드에서 사용하는 것이며 꽤 잘 작동합니다. 설정하는 데 몇 가지 명령만 필요하고 AD 그룹을 지원하며 보조 ID 관리 시스템이 없습니다. AD와 직접 통신합니다. 내가 그 길을 가지 않는 유일한 이유는 내가 기본 솔루션을 좋아하기 때문이고, 최신 배포판에 이미 포함되어 있는 더 나은 방법이 있다면 나는 그것을 전적으로 지지합니다.

SSSD+SELinux는 훌륭하게 들렸습니다. 설정하기는 어렵지만 유연하고 기본적이며 대부분의 최신 배포판에서 지원됩니다. (내가 이해한 바로는) 부족한 점은 AD 그룹에 대한 지원입니다. 많은 기사에서는 FreeIPA 또는 이와 유사한 기능을 활용하여 이 기능을 추가할 것을 제안하지만 자세히 읽어보면 이는 요구 사항 5를 위반하고 기본적으로 중개자 ID 서비스를 생성하는 것입니다. 기본적으로 AD를 복제하거나 보조 ID 서비스에 대한 신뢰를 설정하는 데 관심이 없습니다.

내가 던진 다른 kludge 옵션에는 /etc/password,shadow,group 파일을 엔드포인트에 푸시하기 위해 Puppet(우리가 사용하는)을 사용하는 것이 포함됩니다. 하지만 이를 위해서는 개발이 필요하고 믿을 수 없을 정도로 간접적이며 뭔가 잘못될 수 있습니다. 더 나은 옵션은 Puppet 아이디어에 SSSD+SELinux를 추가하는 것입니다. 재난을 단순화할 수는 있지만 여전히 재난입니다.

내가 무엇을 놓치고 있고, 무엇을 사용하고 있으며, Linux AD 통합 문제를 해결하기 위해 내가 설명하지 못한 "새로운 인기"는 무엇입니까?

답변1

여기서 귀하의 솔루션은 FreeIPA 또는 Centrify/PowerBroker입니다. FreeIPA는 표준 RHEL 구독의 일부이므로 이미 일부 비용 절감 효과가 있습니다.

FreeIPA는 모든 사용자와 그룹이 Active Directory에서 올 수 있는 모드에서 실행될 수 있습니다. SUDO 규칙, 공개 SSH 키, 호스트 기반 액세스 제어 정의, SE Linux 컨텍스트 할당 등과 같은 FreeIPA의 POSIX 특정 환경에만 해당 사용자 및 그룹을 계속 매핑합니다. 그렇게 하려면 일부 AD 사용자/그룹을 FreeIPA의 일부 그룹에 매핑해야 하지만 이는 정보의 중복이 아니며 AD와 관련되지 않은 부분으로 수정됩니다.

FreeIPA가 Active Directory와의 호환성을 구현하는 방식은 일종의 Active Directory 호환 포리스트로 표시되는 것입니다. 포리스트 간 신뢰를 통해 AD 사용자가 FreeIPA 리소스를 사용할 수 있도록 허용하는 것에는 충분하지만 FreeIPA 사용자가 신뢰 반대편에 있는 Windows 시스템에 액세스하는 것을 허용하는 것에는 충분하지 않습니다. 첫 번째 부분에 관심이 있는 것 같으니 괜찮을 것 같습니다.

이미 RHEL 7.1 베타의 일부인 FreeIPA 4.1(RHEL 7.1이 '곧' 출시되길 바랍니다)을 통해 우리는 FreeIPA의 AD 사용자 및 그룹에 대한 재정의를 유지하는 강력한 메커니즘을 갖게 되었으며 SSSD는 이러한 모든 것을 검색할 수 있습니다. 서버별 세분성.

답변2

SSSD에 관해 이야기할 때 '진짜 AD 그룹'이란 무엇을 의미하는지 듣고 싶습니다. 최신 버전의 SSSD에서는 그룹에 POSIX 속성이 필요하지 않으며 AD 공급자가 사용되는 경우 대부분 TokenGroups에서 그룹 멤버십을 읽습니다.

또한 RHEL-7.1(업스트림 1.12+)에서 SSSD는 GPO 정책을 사용하여 액세스 제어 검사를 수행하는 기능을 얻었습니다.

구체적인 질문이 있으시면 언제든지 sssd-users 목록에 글을 남겨주세요.

답변3

Redhat 제품은 여기에서 잘 설명되어 있습니다.
Linux 서버용 Active Directory 인증에 대한 일반적인 통념은 무엇입니까?

최근 설치에서는 SSSD(내장) 및 ldap 또는 sssd.conf 그룹 필터를 통해 이 작업이 수행되었습니다.

Linux 사용자에게 정확히 필요한 것은 무엇입니까?하다시스템에?

답변4

winbind + samba + kerberos는 어떻습니까?

  • AD 자격 증명을 통한 인증(사용자를 문 안으로 들여보내기)

확인됨

  • 인증되면 권한 부여(사용자에게 시스템 영역에 대한 액세스 권한 부여)

확인됨

  • 감사(사용자 작업을 AD 자격 증명에 다시 연결할 수 있음)

/var/로그/보안? 확인됨

  • AD 그룹 지원(바닐라 LDAP뿐만 아니라 시스템에서 개별 사용자를 추가/제거해야 함)

광고그룹 또는 로컬 그룹의 광고 사용자를 모두 허용합니다.

  • AD의 신뢰를 기반으로 한 중복/미러 ID 소스가 아님(두 개의 거대한 시스템이 필요하지 않음)

freeipa는 필요하지 않습니다. 확인됨

관련 정보