web-dev-qa-db-ja.com

Linuxユーザーアカウントの管理+ Sambaなど

私は約3〜6台のCentOSサーバーのネットワークを持ち、約5〜10人のユーザーがいます(現在および近い将来)。ユーザーを一元管理するためのソリューションを探しています。

それからの私の要件は次のとおりです。

  1. Linux認証(サーバーへのログイン)
  2. Sambaとの統合-LinuxファイルをWindowsに公開する場合のみ。このソリューションを使用してWindowsマシンにログインしたくない
  3. Redmine やAlfrescoなどの認証が必要な他のサービスへのAPI
  4. シンプルな管理

OpenLDAPを試しましたが、私の小さなネットワークには複雑すぎるようです。次に、RedHatのIdM(= FreeIPA)をインストールしました。これは、インストールが簡単で、管理が非常に便利です。これもLDAPに基づいているので、他のプレイヤーとうまくプレイできると思いました。

驚いたことに、IdM/FreeIPAはSambaとうまく統合されていないようです。さらに、私は間違っていたようで、IdM/FreeIPAはLDAPデータベースを他のサービスに公開していません-それらはKerberizedする必要があり、ビジネスを複雑にします...

したがって、合理的な解決策はLDAPに戻っているように見えます。私は正しいですか?

しかし、LDAPを使用しても、正しいアプローチが何であるかはわかりません...

  1. OpenLDAP/389サーバー
  2. LDAPバックエンドを備えたSamba3、またはLDAPが組み込まれたSamba4
  3. https://gna.org/projects/smbldap-tools/

私は正しい質問をしているのかどうかさえわかりません:)

1
Zvika

ポイント3のため、これは少し注意が必要です。IPAのLDAPは匿名ではなく利用できるため、クエリを実行するアプリケーションをkerberizeする必要がありますORバインドする汎用アカウントを提供します。ほとんど私が見たアプリケーションはこれをサポートしています。

Samba wikiから:「Samba4を既存のOpenLDAPサーバーにポイントして、動作を期待することはできないことに注意してください。」

正直なところ、このような小さな環境の要件3の詳細に応じて、sssdを介してSambaのバックエンドとしてActive Directoryを使用することをお勧めします(既に持っていると仮定します)。これは、req 3がサポートしていると仮定すると、最も簡単で保守しやすいソリューションです。

2
Andy

柔軟性と幅広いサポートのためにLDAPベースのソリューションを選択します。GNU/ Linuxの世界では、OpenLdapが最善の策です。最初は、LDAPの世界は少し些細なことですが、かなり堅実です。

必要なもの:

  • openLdapサーバー、Sambaスキーマがインストールされた高可用性アーキテクチャが必要な場合は、おそらく2つ(プロバイダーとコンシューマーの方法で)

  • openldapをバックエンドとして使用してユーザーとグループを取得し、一部の共有を公開するように構成されたSambaサーバー

  • コマンドラインからユーザーとグループを管理(追加、編集、削除)するためのSmbdlapツール

  • ユーザーとグループの簡単な管理(追加、編集、削除)のためのWeb GUI、私は提案します fusiondirectory または代わりにローカルLDAPクライアント

  • GNU linuxloginのpamおよびnssでldapサポートを有効にするための構成とパッケージ。

このセットアップには、かなり良いチュートリアルがいくつかあります。

1
lgaggini

すべてを最初から構築したくない場合は、Univention Corporate Server(UCS)を試してみることをお勧めします。私はユニベンションで働いているので、よく知っています。これはDebianベースのエンタープライズレベルのオペレーティングシステムであり、異種環境のドメイン/ ID管理としてうまく機能します。必要なすべての機能を備えた無料の「コアエディション」もあります。

とりわけ、それは提供します:

  1. lDAPおよび/またはKerberosを介したクライアントの認証
  2. nFSおよび/またはSambaを介した共有(Samba 4/ADも可能)
  3. 外部サービスの認証-詳細については、以下を参照してください
  4. 素敵なウェブベースの管理インターフェース

Andyが指摘したように、通常、認証なしでLDAPディレクトリを公開することは望ましくありません(匿名で)。 LDAPディレクトリに特別なユーザーを作成し、サードパーティアプリケーションでこのユーザーを使用して、LDAPディレクトリにクエリを実行するときに認証することをお勧めします。

RedmineとAlfrescoのUniventionWikiにも記事があります: Cool Solution-RedmineをインストールしてLDAP認証をセットアップしますCool Solution-Alfresco

UCSの詳細については 大学のウェブサイト

願わくば、私はあなたの助けになりました、マレン

0
Maren Abatielos