PowerBroker Identity Services Open Edition Решение за интеграция на Active Directory на Linux

powerbroker

Наличието на различни операционни системи в една и съща мрежа в началото прави администрацията много по-трудна поради липсата на една точка на управление. Нека се опитаме да разберем как да създадем приятели Linux и Windows.

Въпреки факта, че Windows и различни Unix се използват в една и съща мрежа повече от една година и много статии са посветени на темата за интеграцията, въпросът изобщо не може да се нарече затворен. Има много разлики - в архитектурата и системата за сигурност, това всъщност не им позволява да ги принудят напълно да работят в един тандем.

Например в Windows управлението на права, системните функции и т.н. се извършват с помощта на обект на групови правила (GPO) - много тромав и гъвкав инструмент, но за съжаление, той е важен само за тази операционна система. В Linux ни обещават да приложим нещо подобно изключително в Samba 4, която се разработва от няколко години.

Окончателното изпълнение все още не е ясно. Има и други трудности. Например в Linux няма първи модел на присвояване на UID и GUID на акаунти, а в различни дистрибуции съответните числа във файлове / и т.н./passwd и / и т.н./група не съвпадат.

Следователно по време на интеграцията могат да се появят сблъсъци. В резултат на това администратор с малко опит може да се сблъска с редица неразрешими проблеми, не всеки може да стигне чак до края.
Процесът на интеграция е силно повлиян от липсата на желание за разкриване на картите от една страна и невъзможността да се погледне отвътре от другата (това забавя процеса на разработка на Samba 4). Но въпреки това има допирни точки и за повечето задачи те са достатъчни на 100%.

Управление на работната станция на Unix

По-лесно е със сървърите, като се има предвид, че броят им е относително малък, във всеки случай е по-лесно да се справите с тях, отколкото с няколко десетки или дори стотици работни станции. Тук често не е достатъчно просто да „разпознаете потребителя“, трябва ви нещо повече.

Необходимо е стриктно да се прилагат политиките за сигурност - да се прецизират правата върху различни ресурси, да се осигури управление и мониторинг на ОС и почти всичко останало. В резултат ситуацията е малко по-сложна.

Днес има няколко налични опции за решения, приложени по различни начини. Една от опциите е да се приложи поне някакъв LDAP сървър като посредник, когато Unix системи и LDAP-съвместими услуги имат достъп до Active Directory.

Тази опция работи успешно, но моли администратора да знае принципите на работа на две среди. Минус необходимостта от запазване на допълнителна услуга само за разговор с домейна. Но тъй като в този случай разширението на схемата обикновено не се използва, Active Directory няма да прави разлика между акаунти, работещи под различни операционни системи.

services

Двама представители на семейството System Center - Configuration Manager и Operations Manager (както в текущата версия 2007R2, така и в бъдещата 2012 г.) [3], клиентският инструмент за инсталиране ви позволява да управлявате опциите на Unix системите. Официално се поддържа - Red Hat Enterprise Linux, SUSE Linux Enterprise Server, Solaris, HP-UX и AIX. Те трябва да бъдат разгледани по-подробно по-близо до окончателната версия на продуктите на System Center 2012.
Такава много спешна задача не спря разработчиците и на други компании. Най-популярните сред техните PowerBroker (по-рано По същия начин), въпреки че софтуерът Centrify и Quest са по-популярни и дори по-функционални). Принципът им обикновено е идентичен.

В система Unix се инсталира клиент, който осигурява удостоверяване и делегиране на всички права на потребителя с помощта на Active Directory. С всичко това обикновено се използва разширението на схемата на Active Directory. За улесняване на управлението, всички системи на Unix трябва да бъдат изградени в отделен OU.
Проект AD4Unix предлага своето разширение на схемата и инструментите за управление на Active Directory, което ви позволява да поддържате една единствена счетоводна база за Linux и Windows. Клиентите не са инсталирани на Linux системи, стандартът се използва за свързване. pam_ldap.

Конфигуриране на PowerBroker Identity Services Open Edition

Най-известният продукт, осигуряващ SSO удостоверяване чрез Active Directory и получаване на достъп до системи и ресурси, е разработката, предлагана от BeyondTrust. Разпространява се в 2 версии: безплатно Отворено издание на PowerBroker Identity Services и търговски Enterprise Edition.

Инсталирането на агенти е възможно в много голям списък операционна система и платформи - Linux, Mac OS X, FreeBSD, Solaris и редица Unix системи, общо около двеста имена. Идентификационните данни на клиентския компютър се кешират, което ви позволява да работите офлайн, без достъп до контролер на домейн.

Няма разширение на схемата на Active Directory, така че по същия начин не предлага никакви допълнителни централизирани опции. Но някои от тях могат да бъдат внедрени без помощта на други, чрез редактиране на чертите на агента.
Инсталирането на приложението не би трябвало да е трудно. Преди разполагането трябва да подготвите Linux - като напишете /etc/resolv.conf коригирайте свойствата на DNS сървъра и името на домейна.

Ако е необходимо, тези данни могат да бъдат регистрирани в / etc/hosts. След това трябва да проверите правилността с nslookup и пинг.