我正在尝试为大量 Windows 和 Linux 服务器(包括网络设备(Cisco、HP、Juniper))找到一种集中用户管理和身份验证的方法。选项包括 RADIUS/LDAP/TACACS/... 想法是跟踪员工变动以及对这些设备的访问。
最好是与 Linux、Windows 和那些网络设备兼容的系统。似乎 Windows 是其中最顽固的一个,对于 Linux 和网络设备,实现解决方案更容易(例如使用 PAM.D)。
我们是否应该寻找适用于 Windows 的 Active Directory/域控制器解决方案?有趣的旁注;我们还管理通常已经在域中的客户端系统。域控制器之间的信任关系并不总是我们的选择(由于客户端安全限制)。
我很想听听有关如何为这些系统实施这种集中式身份验证“门户”的新想法。
有一个解决方案。它被称为 KerberosV5。它可以满足您的所有需求,并且得到 Windows、Linux、Unix 和网络设备的良好支持。看看它。
很多东西可以直接使用 kerberos 对 AD 域进行身份验证。
如果您在 AD 服务器上启用匿名绑定,则可以使用 ldap 管理授权。
您还可以将 AD 服务器配置为 NIS 服务器。我正在这样做,这似乎并不简单,但似乎也并不难。NIS + Kerberos 巧妙地解决了可能没有直接 pam_ldap 模块的过时系统的问题。
最后,您可以使用 AD 服务器作为 RADIUS 服务器,巧妙地解决了“访问随机网络/RAS 设备”的问题。
我主要是一个 unix 人,你需要在 AD 服务器上做很多配置才能让它做这些事情是令人沮丧的,但是你用 AD 获得的一站式购物真的很难争论。多年来,Microsoft 可能遇到了很多问题,但 Active Directory 确实是一项了不起的技术。
感谢您对 Kerberos V5 的回复,这肯定看起来很有希望。
Microsoft 自己开发的另一个工具是 Forefront Identity Manager (FIM),它允许在不将服务器放置在域中的情况下进行身份管理。
http://www.microsoft.com/forefront/identitymanager/en/us/default.aspx
http://kbase.redhat.com/faq/docs/DOC-4735
http://kbase.redhat.com/faq/docs/DOC-3639
上面的 kbase doc 有可能有帮助的例子!!
我对发布商业工具的建议持谨慎态度,但我们开始吧…… FoxT 的“BoKS 访问控制”为您提供对 Unix、Linux、VMWare 和 Windows 系统的用户帐户和网络访问权限的细粒度控制。
不幸的是,它不支持网络设备。