Depois de trabalhar com o Linux por anos em pequenas redes, comecei em uma empresa que mantém grandes redes Windows. Eu sei que você pode conectar um host linux em uma rede do Active Directory, mas existe uma maneira organizada e apropriada de lidar com ele se você não tiver que lidar com hosts do Windows. Puramente hipotético.
Respostas:
O equivalente mais próximo do Active Directory para Linux é o FreeIPA. O FreeIPA é fabricado pela Redhat e fornece autenticação baseada em LDAP e Kerberos a uma rede Linux ...
O FreeIPA é uma solução integrada de gerenciamento de informações de segurança que combina Linux (Fedora), 389 Directory Server, MIT Kerberos, NTP, DNS, Dogtag (Sistema de Certificação). Consiste em uma interface da web e ferramentas de administração de linha de comando.
Lembre-se, o FreeIPA é basicamente apenas o Redhat, e seria necessário muito trabalho para ser instalado no Debian / Ubuntu / qualquer que seja ...
O LDAP é um protocolo de aplicativo para acessar e manter serviços de informações de diretório distribuídos em uma rede IP (Internet Protocol).
Os serviços de diretório podem fornecer qualquer conjunto organizado de registros, geralmente com uma estrutura hierárquica, como um diretório de email corporativo. Da mesma forma, uma lista telefônica é uma lista de assinantes com um endereço e um número de telefone.
Vi grandes redes de mais de mil servidores Linux sem autenticação ou gerenciamento centralizado de usuários. Cada servidor tinha apenas contas locais, todas elas sendo mantidas individualmente.
Isso me faz estremecer. Algo como o Puppet provavelmente pode ajudar nesse departamento de sincronização de contas entre sistemas, mas não ajuda a associar os hosts a um domínio do AD.
Não acredito que sua pergunta seja sobre um equivalente do Active Directory para Linux, como o FreeIPA. Acho que sua pergunta é sobre a integração de hosts Linux em um Microsoft Active Directory existente, de modo que suas máquinas Windows e Linux estejam todas lá no mesmo diretório.
Você já sabe, como disse, que os hosts Linux podem ser "cobbled lá". Eu concordo com essa metáfora, pois é um processo confuso na minha opinião.
Além disso, também existem soluções profissionais, como o PowerBroker (anteriormente chamado de Likewise), que pode ser instalado nos hosts Linux e torna a junção deles a um domínio do AD muito mais confiável. Ele ainda incorpora alguns recursos de diretiva de grupo.
Eu acho que você provavelmente verá algo assim em uma grande empresa que deseja associar suas máquinas Linux a um domínio do Windows.
eu recomendaria OpenLDAP + Kerberos ( MIT ou Heimdal ). Isso envolve deixar as mãos um pouco mais sujas do que você usaria um produto como o FreeIPA, mas em termos de desempenho, você não pode vencer o OpenLDAP.
Este link é realmente antigo, mas destaca algumas das diferenças de desempenho entre o OpenLDAP e o servidor de diretório 389 (incluído no FreeIPA):
Alguns números: Fedora Directory Server vs OpenLDAP
Claro, tenho certeza de que ambos os produtos melhoraram desde então. Eu sei que os números do OpenLDAP são muito melhores, especialmente com o novo back-end mapeado em memória mdb .
Se eu não estivesse em um ambiente particularmente preocupado com a segurança, usaria o NIS . É leve, funciona em muitos Unices, lida bem com falhas do servidor (ou seja, desde que cada cliente esteja configurado para usar vários servidores NIS ou possa encontrar vários servidores por transmissão, é robusto contra a falha do servidor atualmente vinculado) e é usado há anos (como, lembro-me de configurar servidores NIS em 1991), de modo que suas idiossincrasias são muito bem compreendidas.