Проверял синхронизацию пользователей, паролей и групп между тестовым доменом AD и RHDS 8 при помощи службы Red Hat Password Sync. На обоих серверах необходимо получить сертификаты и включить LDAPS. На контроллере домена AD устанавливается служба Password Sync, а со стороны RHDS - Windows Sync Agreement, примерно так же, как настраивается репликация между двумя серверами каталогов RHDS. Настройка и отладка достаточно трудоемка. Для пользователя синхронизируется порядка четырех десятков атрибутов, из которых большая часть одинакова в схемах обоих серверов каталогов. Для гетерогенной среды, где сохраняется AD, и необходимо осуществлять аутентификацию как Linux, так и Windows систем, особых преимуществ Password Sync по сравнению с единственным каталогом AD + Services for Unix мне в голову не приходит. Если же отказываться от AD совсем, то проще использовать IPA, который изначально "заточен" под аутентификацию. В случае использования Kerberos, смысла в Password Sync еще меньше.
Намного больше пользы от Password Sync будет, когда IPA "научится" применять политики Sudo, SELinux и т.д. Однако, пока это - дело будущего.
Про настройку можно почитать тут. Более подробно - в документации RHDS.
4 комментария:
Бывают ситуации при которых расширять схему AD средствами SFU нельзя, а применение ПО на стороне Linux требует LDAP как средства хранения информации о пользвателях и средства проверки их подлинности.
Например, в чистом виде среда с независимыми подразделениями для работы в средах Linux/Unix и Microsoft, и единой системой политик безопасности.
Именно для таких "крупных" клиентов и нужен механизм синхронизации паролей.
Оно конечно так. Я просто подразумевал что схему расширять однозначно можно. А решение рассматривалось со стороны миграции. Правильнее пост было бы назвать "а нужен ли мне Password Sync" :)
Еще есть такой момент как цена вопроса. В случае синка достаточно одной CAL для RHDS. В случае AD + SFU - CAL необходим на каждого Linux-клиента. Могу как-нибудь приватно рассказать примеры, когда это было критично.
Не, не надо :) Финансовая сторона вопроса ясна :)
Отправить комментарий