회사 전략에 따라 인간 사용자 인증을 로컬 LDAP 구현에서 중앙 집중식 Active Directory 도메인으로 옮기고 있습니다. 문제는 LDAP의 sudoers 설정이 심각하게 제한되어 있다는 것입니다. Windows 관리자는 많은 작업 없이는 이 설정을 미러링할 수 없으며 아마도 시간을 들이지 않고는 이 설정을 완전히 미러링할 수도 없을 것입니다. 떠오른 아이디어 중 하나는 다음과 같습니다.
Active Directory에 인증하되 기존 LDAP 인프라 내에서 sudoer 관리를 유지합니다.
그래서 질문은 sudoers에 대한 LDAP를 가질 수 있고 /etc/nsswitch.conf에서 passwd에 대한 대안을 가질 수 있도록 인증을 위한 AD/서버에 대한 대안이 있습니까?
규모로 인해 각 게스트에 대해 로컬 /etc/sudoers 파일을 유지 관리하는 것은 관리상 제한적이며 아키텍처 및 확장성 측면에서 장애가 될 수 있습니다.
답변1
Univention Corporate Server(UCS)를 사용하는 솔루션을 추천해 드릴 수 있습니다. Actice Directory 호환 도메인과 통합된 Samba 4를 사용하는 Debian 기반 Linux 엔터프라이즈 배포판입니다. 따라서 이는 중앙 집중식 Active Directory라고 부르는 것이 될 수 있습니다.
LDAP 문제의 경우 UCS에는 OpenLDAP도 포함되어 있습니다. 이는 UCS의 OpenLDAP를 사용하여 기존 Linux/Unix 시스템을 통합하고 Samba 4 Active Directory를 사용하여 Windows 클라이언트/서버를 통합할 수 있음을 의미합니다.
sudoer와 관련하여 멋진 sudo 솔루션이 있습니다. 웹 기반 Univention 관리 콘솔을 통해 sudo를 구성할 수 있습니다. http://wiki.univention.de/index.php?title=Cool_Solution__-_Setup_sudo_with_ldap_on_multiserver_environments
또는 기존 Microsoft AD를 기본 디렉터리로 유지하려는 경우 UCS 통합 도구인 Active Directory Connection Hope의 자동 동기화를 통해 해당 디렉터리와 UCS의 OpenLDAP 디렉터리 간에 사용자, 그룹 및 선택적 암호 흥정을 구현할 수 있습니다. 이 도구는 기본적으로 UCS의 일부인 Univention Application Center를 통해 사용할 수 있습니다.
UCS에 대한 자세한 내용은 am wiki 및 다음 위치에서 확인할 수 있습니다. https://www.univention.com/products/ucs/