基於Linux的域管理解決方案？

Question

使用Windows Server系列的任何成員，我可以設置一個活動目錄，並為大型計算機提供單個用戶池; 可以為給定域中的任何共享資源（包括訪問客戶端計算機等）提供/刪除訪問權限。

使用Linux管理多用戶，多計算機環境有哪些類似（和廣泛）的解決方案？ 它們的優點/缺點是什么？ 他們如何與Windows互操作？

Answer 1

不確定這是否是您的想法，但Linux w / Samba可以充當Windows桌面的域控制器。 例如，請參閱HowToForge上的小型工作組的SAMBA（域控制器）服務器 。 這適用於文件/打印共享等。

對於類似於Microsoft的Active Directory的內容，您可以查看Red Hat Directory Server ：

Red Hat Directory Server是一個基於LDAP的服務器，它將應用程序設置，用戶配置文件，組數據，策略和訪問控制信息集中到獨立於操作系統的基於網絡的注冊表中。

如果成本是一個問題，那么Fedora Directory Server版本就是免費的社區版本。

另一個潛在的產品是Sun的OpenDS項目：

OpenDS是一個開源社區項目，構建基於LDAP和DSML的免費且全面的下一代目錄服務。 OpenDS旨在解決大型部署，提供高性能，高度可擴展性以及易於部署，管理和監控的問題。

Answer 2

Joe：我認為現在NIS被認為是傳統的Unix東西。 我不會向新部署的任何人推薦它。

在我工作的公司，我們為我們的LDAP目錄和Kerberos KDC運行Apple的Open Directory。 您可以使用Red Hat的目錄服務器（上面提到的Jay）或Apache Directory之類的東西來實現相同的功能。

雖然LDAP和Kerberos最初可能令人生畏，而且工作有點挑戰，但我認為這種努力非常值得。 您可以輕松擴展到您需要的任何尺寸。

對於Windows的結尾，您可以將Samba掛鈎到LDAP並根據它對Windows客戶端進行身份驗證。

Answer 3

LDAP顯然是要走的路。 例如，參見OpenLDAP Software 2.4管理員指南 。

在Linux和FreeBSD上使用LDAP設置用戶身份驗證的示例在我的博客（法語）， ComptesUnixstockésurLDAP上 。

Answer 4

據推測，Linux計算機可以使用“ 同步打開”連接到Active Directory域。 即使用Active Directory憑據進行身份驗證和訪問控制。

我自己嘗試了一下並且沒有運氣（最終無意中使我的桌面系統成為域控制器並且不得不讓網絡管理員重新分配它！）。 可能只需更好地閱讀文檔......

Answer 5

Samba提供與Windows域控制器的互操作性。 使用版本3，它可以充當主域控制器。 根據我的閱讀，版本4將改進對ActiveDirectory的支持。

Answer 6

Linux服務器可以配置為參與NIS域 ，在構建服務器時，通常應該提示您進行此類設置。 NIS與Active Directory非常相似，可在多個框中提供通用身份和身份驗證 。 您還可以將主目錄配置為從公共NFS共享安裝，以便身份和工作環境隨用戶在框中移動。

我從用戶/技術主管方面經歷過這一點，希望Linux管理員可以提供有關如何執行此操作以及在何處查找資源的進一步指示。