লিনাক্স সার্ভারের জন্য অ্যাক্টিভ ডিরেক্টরি প্রমাণীকরণ সম্পর্কে সাধারণ জ্ঞান?

লিনাক্স সার্ভার এবং আধুনিক উইন্ডোজ সার্ভার অপারেটিং সিস্টেমের (সেন্টোস / আরএইচইএল-কেন্দ্রিক) জন্য অ্যাক্টিভ ডিরেক্টরি প্রমাণীকরণ / একীকরণ সম্পর্কে 2014 এর সাধারণ জ্ঞানটি কী?

২০০৪ সালে একীকরণের সাথে আমার প্রথম প্রয়াসের কয়েক বছর ধরে, মনে হচ্ছে এটি প্রায় সেরা-অনুশীলনগুলি স্থানান্তরিত হয়েছে। বর্তমানে কোন পদ্ধতিতে সবচেয়ে গতি রয়েছে তা আমি নিশ্চিত নই।

মাঠে, আমি দেখেছি:

Winbind / সাম্বা
স্ট্রেইট-আপ দ্বারা LDAP
কখনও কখনও দ্বারা LDAP + + কার্বারোস
মাইক্রোসফট উইন্ডোজ সার্ভিস ইউনিক্স (SFU) জন্য
মাইক্রোসফট পরিচয় ইউনিক্স জন্য ম্যানেজমেন্ট
NSLCD
SSSD- র
FreeIPA
Centrify
Powerbroker ( বিবাহ-পূর্ব অনুরূপভাবে )

উইনবাইন্ড সবসময় ভয়ঙ্কর এবং বিশ্বাসযোগ্য না বলে মনে হয়েছিল। সেন্ট্রিফি এবং তেমনিভাবে বাণিজ্যিক সমাধানগুলি সর্বদা কাজ করে তবে এটি অপ্রয়োজনীয় বলে মনে হয়েছিল, কারণ এই ক্ষমতাটি ওএসে বেকড।

ইউনিক্স রোল ফিচারের জন্য মাইক্রোসফ্ট আইডেন্টিটি ম্যানেজমেন্টের জন্য আমি শেষ কয়েকটি স্থাপনা লিনাক্সের পাশের একটি উইন্ডোজ ২০০ R আর 2 সার্ভার এবং এনএসএলসিডি (আরএইচইএল 5 জন্য) যুক্ত করেছিলাম। এটি আরএইচইল 6 অবধি কাজ করেছিল, যেখানে এনএসএলসিডি এবং মেমরির রিসোর্স ম্যানেজমেন্ট ইস্যুগুলিতে রক্ষণাবেক্ষণের অভাব এসএসএসডি পরিবর্তন করতে বাধ্য করেছিল। রেড হ্যাট এসএসএসডি পদ্ধতির সমর্থনও করেছিল বলে মনে হয়েছিল, তাই এটি আমার ব্যবহারের পক্ষে ঠিক আছে।

আমি একটি নতুন ইনস্টলেশন নিয়ে কাজ করছি যেখানে ডোমেন নিয়ন্ত্রকগুলি উইন্ডোজ 2008 আর 2 কোর সিস্টেম এবং ইউনিক্স ভূমিকা বৈশিষ্ট্যের জন্য পরিচয় পরিচালনা যুক্ত করার ক্ষমতা রাখে না। এবং আমাকে বলা হয়েছে যে এই বৈশিষ্ট্যটি হ্রাস করা হয়েছে উইন্ডোজ সার্ভার 2012 আর 2 তে আর উপস্থিত নেই ।

এই ভূমিকাটি ইনস্টল করার সুবিধা হ'ল এই জিইউআইয়ের উপস্থিতি, যখন ব্যবহারকারীর বৈশিষ্ট্যগুলির সহজ এক-পদক্ষেপের প্রশাসনের অনুমতি দেয়।

কিন্তু ...

সার্ভার ফর নেটওয়ার্ক ইনফরমেশন সার্ভিস (এনআইএস) রিমোট সার্ভার অ্যাডমিনিস্ট্রেশন টুলস (আরএসএটি) এর সরঞ্জাম অপসারণ করা হয়েছে। নেটিভ এলডিএপি, সাম্বা ক্লায়েন্ট, কার্বেরোস, বা মাইক্রোসফ্ট নয় এমন বিকল্পগুলি ব্যবহার করুন।

এটি ফরোয়ার্ড-সামঞ্জস্যতা ভেঙে দিতে পারে যদি নির্ভর করা সত্যিই কঠিন করে তোলে। গ্রাহক উইনবাইন্ডটি ব্যবহার করতে চায় তবে আমি রেড হ্যাট দিক থেকে যা দেখি সেগুলি এসএসএসডি ব্যবহারের দিকে নির্দেশ করে।

সঠিক পন্থা কি?
আপনি আপনার পরিবেশে এটি কীভাবে পরিচালনা করবেন ?

মার্চ ২০১৪-এ, রেড হ্যাট রেড হ্যাট এন্টারপ্রাইজ সার্ভারকে অ্যাক্টিভ ডিরেক্টরিতে সংহত করার জন্য একটি রেফারেন্স আর্কিটেকচার প্রকাশ করেছে । (এই উপাদানটি অবশ্যই বর্তমান এবং প্রাসঙ্গিক হওয়া উচিত)) আমি এটি উত্তর হিসাবে পোস্ট করতে ঘৃণা করি, তবে উত্তর ক্ষেত্রে স্থানান্তরিত করার জন্য এটি সত্যিই খুব বেশি উপাদান।

এই ডকুমেন্টটি (সংশোধন করা হয়েছে) টিপে রেড হ্যাট এন্টারপ্রাইজ লিনাক্স (আরএইচইল) এর নতুন বৈশিষ্ট্যগুলিতে ফোকাস দেখাচ্ছে বলে মনে হয় 7.. এটি সামিটের জন্য গত সপ্তাহে প্রকাশিত হয়েছিল।

এই লিঙ্কটি বাসি হয়ে যাওয়া উচিত, দয়া করে আমাকে জানান এবং আমি সেই অনুযায়ী উত্তর আপডেট করব।

প্রমাণীকরণের জন্য আমি ব্যক্তিগতভাবে উইনবাইন্ডকে মোটামুটি নির্ভরযোগ্যভাবে ব্যবহার করেছি। খুব বিরল সার্ভিস ব্যর্থতা রয়েছে যার জন্য রুট বা অন্যান্য স্থানীয় অ্যাকাউন্টের সাথে কাউকে প্রবেশ করতে এবং উইনবাইন্ডকে বাউস করতে হবে। আপনি যদি চেষ্টাটি চালিয়ে যান তবে যত্নের সাথে যথাযথ পর্যবেক্ষণের মাধ্যমে এটি মোকাবিলা করা যেতে পারে।

এটি লক্ষণীয় যে সেন্ট্রিফির অতিরিক্ত কার্যকারিতা রয়েছে যদিও এটি পৃথক কনফিগারেশন পরিচালনার দ্বারা সরবরাহ করা যেতে পারে। (পুতুল ইত্যাদি)

6/16/14 সম্পাদনা করুন:

Red Hat Enterprise Linux 7 উইন্ডোজ ইন্টিগ্রেশন গাইড

পুনরায়: "সেন্ট্রিফাই এবং তেমনিভাবে বাণিজ্যিক সমাধানগুলি সর্বদা কাজ করে, তবে অপ্রয়োজনীয় বলে মনে হয়েছিল, যেহেতু এই ক্ষমতাটি ওএসে বেকড।"

ওয়েল আমি মনে করি আমাদের বেশিরভাগ বছর ধরে শুনছি যে এক্সওয়াইজেড অপারেটিং সিস্টেমটি শেষ পর্যন্ত এডি সংহতকরণ ধাঁধাটিকে ক্র্যাক করে। সমস্যাটি হ'ল ওএস বিক্রেতার জন্য, এডি সংহতকরণ একটি চেকবক্স বৈশিষ্ট্য, অর্থাৎ তাদের এমন কিছু সরবরাহ করা দরকার যা এই চেকবক্সটি পাওয়ার জন্য সর্ফা কিন্ডা কাজ করে, এবং সেই চেকবক্সটি কেবলমাত্র এতে কাজ করে ...

1. তাদের ওএস প্ল্যাটফর্ম এবং
2. প্ল্যাটফর্মের বর্তমান সংস্করণ এবং
3. অ্যাক্টিভ ডিরেক্টরি একটি সাম্প্রতিক সংস্করণ বিরুদ্ধে।

বাস্তবতা হ'ল বেশিরভাগ পরিবেশ ওএস বিক্রেতার এবং ওএস সংস্করণের ক্ষেত্রে একচেটিয়া নয় এবং এডির পুরানো সংস্করণ থাকবে। সে কারণেই সেন্ট্রিফির মতো বিক্রেতাকে ইউএনআইএক্স / লিনাক্স / ম্যাক / ইত্যাদির 450+ স্বাদ সমর্থন করতে হবে। উইন্ডোজ 2000 এর বিপরীতে উইন্ডোজ 2012 আর 2, কেবল আরএইচএল 7 আবার উইন্ডোজ 2012 আর 2 নয়।

এছাড়াও, আপনার এডি কীভাবে স্থাপন করা হবে সে সম্পর্কেও আপনাকে ফ্যাক্ট করতে হবে, সুতরাং ওএস বিক্রেতার এডি ইন্টিগ্রেশন রিড ওলি ডোমেন কন্ট্রোলার (আরওডিসি), একমুখী ট্রাস্ট, একাধিক-বন সমর্থন সরবরাহ করে এবং যদি আপনার প্রাক- বিদ্যমান ইউআইডি স্পেস (যা আপনি করবেন), সেখানে ইউআইডিগুলিকে AD এ স্থানান্তর করার জন্য মাইগ্রেশন সরঞ্জাম রয়েছে। এবং আপনার ওআইডি স্পেসটি সমতল নয় এমন পরিস্থিতিতে ওএস বিক্রেতা এর AD সমর্থনটি একক AD তে একাধিক ইউআইডি ম্যাপ করার সক্ষমতা সম্বোধন করে। এবং কি সম্পর্কে ... ভাল আপনি ধারণা পাবেন।

তারপরে সমর্থনের প্রশ্ন আছে ...

পয়েন্ট হ'ল এডি সংহতটি ধারণাগতভাবে সহজ বলে মনে হতে পারে এবং এটি কোনও বিক্রেতার সর্বশেষ ওএসের সাথে "ফ্রি" হতে পারে এবং সম্ভবত আপনার যদি একজন বিক্রেতার কাছ থেকে কোনও OS এর একটি সংস্করণ থাকে এবং একটি ভ্যানিলা এডি থাকে যা সর্বশেষতম সংস্করণ, এবং আপনার কাছে রয়েছে ওএস বিক্রেতার সাথে একটি প্রিমিয়াম সমর্থন চুক্তি যারা আগত কোনও সমস্যা সমাধানের জন্য যথাসাধ্য চেষ্টা করবে। অন্যথায় আপনি একটি বিশেষ তৃতীয় পক্ষের সমাধান বিবেচনা করতে চাইতে পারেন।

সার্ভার ফর নেটওয়ার্ক ইনফরমেশন সার্ভিস (এনআইএস) রিমোট সার্ভার অ্যাডমিনিস্ট্রেশন টুলস (আরএসএটি) এর সরঞ্জাম অপসারণ করা হয়েছে।

এটি আমার কাছে অবাক হওয়ার মতো বিষয় নয় - এনআইএস প্রমাণ হিসাবে সূর্য আমাদের ঘৃণা করেছিল এবং আমাদের চেয়েছিল যে আমরা কৃপণ হয়ে উঠি।

নেটিভ এলডিএপি, সাম্বা ক্লায়েন্ট, কার্বেরোস, বা মাইক্রোসফ্ট নয় এমন বিকল্পগুলি ব্যবহার করুন।

এটি ভাল পরামর্শ। "আদি দ্বারা LDAP ব্যবহার (SSL- র মাধ্যমে, দয়া করে)" পছন্দ আমি বলতে হবে দেওয়া - সেখানে অনেক অপশন এই জন্য উপলব্ধ রয়েছে, দুই আমি হচ্ছে সবচেয়ে পরিচিত নই pam_ldap + + nss_ldap (PADL থেকে), অথবা মিলিত NSS-pam- ldapd (যা একটি কাঁটাচামচ হিসাবে উত্সিত এবং চলমান উন্নয়ন এবং বর্ধন দেখেছেন)।

যেহেতু আপনি রেডহ্যাট সম্পর্কে জিজ্ঞাসা করছেন তা বিশেষভাবে লক্ষণীয় যে রেডহ্যাট আপনাকে এসএসএসডি ব্যবহার করে অন্যান্য বিকল্প সরবরাহ করে।
আপনার পরিবেশ যদি সর্ব-রেডহ্যাট হয় (বা কেবলমাত্র প্রচুর পরিমাণে রেডহ্যাট সিস্টেম রয়েছে) সরকারীভাবে সমর্থিত "রেডহ্যাট ওয়ে অফ ডিংিং থিংস" অনুসন্ধান করা অবশ্যই আপনার সময়ের জন্য উপযুক্ত।

যেহেতু আমি রেডহ্যাট / এসএসএসডি নিজেই কোনও অভিজ্ঞতা পাইনি আমি কেবল ডক্স দ্বারা যাচ্ছি তবে এটি বেশ শক্তিশালী এবং নকশাযুক্ত বলে মনে হচ্ছে।

প্রস্তাবিত পদ্ধতিগুলির মধ্যে, আমি আপনাকে একটি উপকার / বিভক্ত তালিকা দিতে দিই:

সোজা আপ কার্বেরোস / এলডিএপি

পেশাদাররা: সঠিকভাবে কনফিগার করা হলে দুর্দান্ত কাজ করে। কদাচিৎ বিরতি, স্থিতিস্থাপক, নেটওয়ার্ক গ্লোচে বেঁচে থাকবে। এডি তে কোনও পরিবর্তন দরকার নেই, স্কিমা পরিবর্তন হবে না, এডি তে কোনও প্রশাসকের প্রবেশাধিকার প্রয়োজন নেই। বিনামূল্যে।

কনস: কনফিগার করা তুলনামূলকভাবে কঠিন। একাধিক ফাইল পরিবর্তন করা দরকার। যদি প্রমাণীকরণের সার্ভার (কার্বেরোস / এলডিএপি) উপলব্ধ না হয় তবে কাজ করবে না।

winbind

পেশাদাররা: কনফিগার করা সহজ। বেসিক সুডো কার্যকারিতা। বিনামূল্যে।

কনস: নিবিড় সমর্থন। নেটওয়ার্ক স্থিতিস্থাপক নয়। যদি কোনও নেটওয়ার্ক সমস্যা থাকে তবে লিনাক্স মেশিনগুলি এডি থেকে বাদ পড়তে পারে সার্ভারটির পুনরায় নিবন্ধকরণের জন্য, একটি সমর্থন টাস্ক। অ্যাডমিনিস্ট্রেটর অ্যাকাউন্টে অ্যাক্সেস প্রয়োজন। এডি তে স্কিমা পরিবর্তন করতে পারে।

সেন্ট্রিফাই / অনুরূপভাবে ইত্যাদি

পেশাদাররা: কনফিগার করা তুলনামূলকভাবে সহজ।

কনস: স্বতন্ত্র কার্যকারিতা মালিকানাতে পরিবর্তন করে, সমর্থন করা শক্ত। সার্ভার প্রতি লাইসেন্স খরচ। পরিচালনা করার জন্য অতিরিক্ত দক্ষতা প্রয়োজন।

SSSD- র

পেশাদাররা: একটি কনফিগার ফাইল, কনফিগার করা সহজ। বর্তমান এবং ভবিষ্যতের সমস্ত প্রমাণীকরণ পদ্ধতির সাথে কাজ করে। স্কেলেবল, সিস্টেমের সাথে বৃদ্ধি পায়। সংযোগ বিচ্ছিন্ন মোডে কাজ করবে। নেটওয়ার্ক স্থিতিস্থাপক। এডি স্কিমে কোনও পরিবর্তন করার দরকার নেই। এডি প্রশাসকের শংসাপত্রগুলির প্রয়োজন নেই। বিনামূল্যে, সমর্থিত।

কনস: ডিএনএসের স্বয়ংক্রিয় আপডেটের মতো বিজয়ী পরিষেবাদি নেই। সিআইএফএস শেয়ারগুলি কনফিগার করতে হবে।

সারাংশ

সুবিধাগুলি এবং অসুবিধাগুলি দেখে এসএসএসডি হ'ল স্পষ্ট বিজয়ী। যদি এটি একটি নতুন সিস্টেম হয় তবে এসএসএসডি ছাড়া অন্য কিছু ব্যবহার করার কারণ নেই। এটি এমন একটি ইন্টিগ্রেটর যা উপস্থিত সমস্ত প্রমাণীকরণ পদ্ধতির সাথে কাজ করে এবং সিস্টেমের সাথে বৃদ্ধি পেতে পারে কারণ যখন উপলব্ধ হয় তখন নতুন পদ্ধতি যুক্ত করা যায়। এটি নেটিভ লিনাক্স পদ্ধতি ব্যবহার করে এবং অনেক বেশি নির্ভরযোগ্য এবং দ্রুত। যদি ক্যাচিং চালু থাকে, সম্পূর্ণ নেটওয়ার্ক ব্যর্থতার সাথে সিস্টেমগুলি সম্পূর্ণ বিচ্ছিন্ন সিস্টেমেও কাজ করবে।

পরিবর্তিত হওয়ার জন্য খুব বেশি কাজ যুক্ত থাকলে উইন্ডবাইন্ড বিদ্যমান সিস্টেমে ব্যবহার করা যেতে পারে।

সেন্ট্রিফাইতে ইন্টিগ্রেশন নিয়ে সমস্যা রয়েছে যা ব্যয়বহুল হতে পারে। নতুন প্রকাশে বেশিরভাগ বাগগুলি স্থির করা হয়েছে, তবে এখনও কিছু কিছু রয়েছে যা মাথা ব্যথার কারণ হয়ে দাঁড়ায়।

আমি এই সমস্ত পদ্ধতি নিয়ে কাজ করেছি এবং এসএসএসডি স্পষ্ট বিজয়ী। এমনকি পুরানো সিস্টেমগুলির জন্য, উইনবাইন্ড থেকে এসএসএসডি রূপান্তর করার জন্য আরওআই খুব বেশি। এসএসএসডি ব্যবহার না করার নির্দিষ্ট কারণ না থাকলে সর্বদা এসএসএসডি ব্যবহার করুন।

এ সম্পর্কে মন্তব্য করতে হবে:

এটি লক্ষণীয় যে সেন্ট্রিফির অতিরিক্ত কার্যকারিতা রয়েছে যদিও এটি পৃথক কনফিগারেশন পরিচালনার দ্বারা সরবরাহ করা যেতে পারে। (পুতুল ইত্যাদি)

যে কেউ সেন্ট্রিফাইয়ের সাথে কাজ করে সে বিষয়ে নিশ্চিত হওয়া যায়নি যে মন্তব্যটি এসেছে। তাকান এই এবং আপনি দেখতে পারেন বৈশিষ্ট্য আপনি পুতুল Ala একটি কনফিগ Mgmt টুল দিয়ে পাবেন না একটি boatload নেই। উদাহরণস্বরূপ, একক AD অ্যাকাউন্টে (জোনস) একাধিক ইউআইডি ম্যাপিংয়ের জন্য সমর্থন, সম্পূর্ণ অ্যাক্টিভ ডিরেক্টরি ডিরেক্টরি ডোমেন ট্রাস্টের সমর্থন (যে পৃষ্ঠায় রেড হ্যাট সমাধান নথি যেটি সমর্থন করে না) ইত্যাদি।

তবে এই রেড হ্যাট গাইডটিতে ফিরে আসুন। এটি দুর্দান্ত যে রেড হ্যাট এটি প্রকাশ করছে, বিকল্পগুলি ভাল। নোট করুন এটি গ্রাহককে বেসিক AD সংহত করার জন্য 10 টি বিকল্প দেয়। বেশিরভাগ বিকল্পগুলি উইনবাইন্ডের বিভিন্নতা, এবং পৃষ্ঠা 15 এটি প্রতিটিটির সুবিধাগুলি এবং অসুবিধাগুলি তালিকাভুক্ত করে, এবং প্রত্যেকটির জন্য প্রয়োজনীয় ম্যানুয়াল পদক্ষেপগুলির একটি গোছা রয়েছে (উপরের প্রতি সংশ্লিষ্ট অসুবিধাগুলি / কার্যকারিতার অভাব সহ)। সেন্ট্রিফি এক্সপ্রেসের সুবিধাটি হ'ল উপরের অন্যান্য কমেন্টাররা হলেন:

1. সমস্ত ম্যানুয়াল পদক্ষেপ এবং ডাব্লু আউট ইনস্টল করা সহজ ...
2. বিনামূল্যে এবং ...
3. শুধুমাত্র একটি বৈকল্পিক নয়, লিনাক্সের সাথে প্রশ্নটি করা যেমন রেড হ্যাট ভি 7-তে সীমাবদ্ধ নয় - সেন্ট্রিফাই * নিক্স এবং 300 এরও বেশি স্বাদ সমর্থন করে ...
4. উইন্ডোজ এডি এর সমস্ত রূপকে সমর্থন করে, কেবল উইন্ডোজ ২০০৮ নয়। তারা সেন্ট্রিফাই বনাম উইনবাইন্ডের তুলনা এখানে প্রকাশ করেছে , তবে এটি উন্মুক্ত উত্স নয়।

আপনি নিজেরাই রোল করতে চান বা কোনও বাণিজ্যিক সমাধান নিয়ে যেতে চান তা শেষে এটি সিদ্ধ হয়। সত্যিই আপনি কোথায় এবং কীভাবে আপনার সময় ব্যয় করেছেন তা একটি বিষয়।