基於Linux的域管理解決方案？

Question

使用Windows Server家族的任何成員，我可以設置一個活動目錄，併爲大型計算機提供一個用戶池;對給定域中的任何共享資源（包括對客戶端計算機的訪問等）都可以授予/刪除訪問權限。

使用Linux來管理多用戶，多計算機環境有什麼類似（並且普遍）的解決方案？他們的優點/缺點是什麼？他們如何與Windows進行互操作？

Answer 1

不知道這是你的想法，但Linux w/Samba可以充當Windows桌面的域控制器。例如，請參閱HowToForge上的SAMBA (Domain Controller) Server For Small Workgroups。這適用於文件/打印共享等

對於一些更類似於微軟的活動目錄，你可以檢查出Red Hat Directory Server：

紅帽目錄服務器是集中應用 設置基於LDAP服務器，用戶配置文件，組數據，策略以及訪問控制信息 整合到獨立於操作系統的基於網絡的註冊表中。

如果成本是一個問題，有一個免費的社區版本的Fedora目錄服務器版本。

另一個潛在的產品將是Sun的OpenDS項目：

OpenDS的是一個開源社區項目，建立一個自由和全面 下一代目錄服務基於LDAP 和DSML。 OpenDS旨在解決大型部署，提供高性能，高度可擴展性，並且易於部署，管理和監視。

Answer 2

假設Linux計算機可以使用Likewise Open連接到活動目錄域。即使用Active Directory憑證進行身份驗證和訪問控制。

我已經嘗試了一下我自己，並沒有運氣，雖然（最終無意中使我的桌面系統的域控制器，並不得不讓網絡管理員重新分配它！）。可能只是需要更好地閱讀文檔...

Answer 3

Samba提供與Windows域控制器的互操作性。使用版本3，它可以充當主域控制器。從我讀的內容來看，版本4將改進對ActiveDirectory的支持。

Answer 4

可以將Linux服務器配置爲參與NIS域，建立服務器時通常應該提示您進行此類設置。 NIS與Active Directory非常相似，它提供了通用身份和身份驗證以及多個盒子。您還可以將主目錄配置爲脫離常見的NFS共享，以便身份和工作環境隨着用戶的不同而不同。

我已經從用戶/技術引領方面體驗到了這一點，希望Linux管理員可以提供關於如何去做以及在哪裏可以找到資源的進一步指示。

Answer 5

Joe：我認爲NIS現在被認爲是傳統Unix的東西。我不會將它推薦給任何人進行新的部署。

在我工作的公司，我們爲我們的LDAP目錄和Kerberos KDC運行Apple的Open Directory。您可以使用Red Hat的目錄服務器（上面提到的Jay）或類似Apache Directory來實現同樣的目的。

儘管LDAP和Kerberos一開始可能令人望而生畏，而且工作起來有點困難，但我認爲這項工作非常值得。您可以輕鬆擴展至任何您需要的尺寸。

對於Windows的事情，您可以將Samba掛鉤到LDAP中，並根據這些信息驗證您的Windows客戶端。

Answer 6

LDAP顯然是要走的路。例如參見OpenLDAP Software 2.4 Administrator's Guide。

在我的博客（法語）Comptes Unix stockés sur LDAP上提供了一個在Linux和FreeBSD上使用LDAP設置用戶認證的示例。