我们已经实现了一个 LDAP 到 NIS 的解决方案,并且已经开始将一些系统转换为本地 LDAP 绑定以进行身份验证和自动挂载映射。不幸的是,我们的环境非常复杂,有超过 20 个 *nix 环境。每个变体的设置当然是独一无二的,并且需要各种变通方法才能获得完整的功能。现在,我们愿意重新审视解决方案并可能迁移到类似的东西(http://www.likewise.org),但想知道其他人正在使用什么来解决这个问题。
AskOverflow.Dev
我们已经实现了一个 LDAP 到 NIS 的解决方案,并且已经开始将一些系统转换为本地 LDAP 绑定以进行身份验证和自动挂载映射。不幸的是,我们的环境非常复杂,有超过 20 个 *nix 环境。每个变体的设置当然是独一无二的,并且需要各种变通方法才能获得完整的功能。现在,我们愿意重新审视解决方案并可能迁移到类似的东西(http://www.likewise.org),但想知道其他人正在使用什么来解决这个问题。
@艾弗里,
这本质上就是类似 Open 所做的。它利用 Kerberos(通过 PAM)对用户进行身份验证。它还提供 NSSWITCH 模块来执行 SID->ID 映射(使用各种算法,一些基于 LDAP,一些基于哈希)。
与普通的旧 pam_krb5 相比,它有几个优点:
干杯,
Manny Vellon 首席技术官,同样
我曾经有 40 台 Linux 服务器,都具有本地身份验证。生活是地狱。
我最终通过构建一个 Active Direcotry 基础架构并实施了 Like Open 来验证我所有的机器(加上 samba、ftp、jabber 和六个 Web 应用程序)来解决这个问题。
现在我有 80-100 台服务器都使用相同的身份验证,我的用户喜欢它(但不像我那样多)。
我从来没有后悔过使用 Like。我在我的博客上谈了很多,他们给我寄了一件 T 恤!
我们通过在 RHEL/CentOS 上进行标准化“解决了”这个问题。这也解决了许多其他可移植性问题。
至于 LDAP,我们也使用它,但 ldap 和 NSS 之间的接口远非完美(任何其他网络服务也是如此)。如果我有时间,我会考虑部署nsscache而不是
nss_ldap. 或者甚至可以用 winbind 替换pam_ldapandnss_ldap,以更好地与我们的 windows 环境集成(同样是 winbind 的变体,不是吗?)。许多公司都在使用 同样,它运行良好。我们有大约 20 台使用本地用户的服务器,然后我们迁移到了 Like,生活变得简单多了。