06 октября 2009

Нужен ли Red Hat Password Sync?

Проверял синхронизацию пользователей, паролей и групп между тестовым доменом AD и RHDS 8 при помощи службы Red Hat Password Sync. На обоих серверах необходимо получить сертификаты и включить LDAPS. На контроллере домена AD устанавливается служба Password Sync, а со стороны RHDS - Windows Sync Agreement, примерно так же, как настраивается репликация между двумя серверами каталогов RHDS. Настройка и отладка достаточно трудоемка. Для пользователя синхронизируется порядка четырех десятков атрибутов, из которых большая часть одинакова в схемах обоих серверов каталогов. Для гетерогенной среды, где сохраняется AD, и необходимо осуществлять аутентификацию как Linux, так и Windows систем, особых преимуществ Password Sync по сравнению с единственным каталогом AD + Services for Unix мне в голову не приходит. Если же отказываться от AD совсем, то проще использовать IPA, который изначально "заточен" под аутентификацию. В случае использования Kerberos, смысла в Password Sync еще меньше.

Намного больше пользы от Password Sync будет, когда IPA "научится" применять политики Sudo, SELinux и т.д. Однако, пока это - дело будущего.

Про настройку можно почитать тут. Более подробно - в документации RHDS.


4 комментария:

Unknown комментирует...

Бывают ситуации при которых расширять схему AD средствами SFU нельзя, а применение ПО на стороне Linux требует LDAP как средства хранения информации о пользвателях и средства проверки их подлинности.

Например, в чистом виде среда с независимыми подразделениями для работы в средах Linux/Unix и Microsoft, и единой системой политик безопасности.

Именно для таких "крупных" клиентов и нужен механизм синхронизации паролей.

Andrey Markelov комментирует...

Оно конечно так. Я просто подразумевал что схему расширять однозначно можно. А решение рассматривалось со стороны миграции. Правильнее пост было бы назвать "а нужен ли мне Password Sync" :)

avasyukov комментирует...

Еще есть такой момент как цена вопроса. В случае синка достаточно одной CAL для RHDS. В случае AD + SFU - CAL необходим на каждого Linux-клиента. Могу как-нибудь приватно рассказать примеры, когда это было критично.

Andrey Markelov комментирует...

Не, не надо :) Финансовая сторона вопроса ясна :)