Quelle est la sagesse courante en 2014 concernant l'authentification / intégration Active Directory pour les serveurs Linux et les systèmes d'exploitation Windows Server modernes (centrés sur CentOS / RHEL)?
Au fil des ans depuis mes premières tentatives d'intégration en 2004, il semble que les meilleures pratiques à ce sujet aient changé. Je ne sais pas exactement quelle méthode a le plus d'élan actuellement.
Sur le terrain, j'ai vu:
Winbind / Samba
straight-up LDAP
Parfois LDAP + Kerberos
Microsoft Windows Services for Unix (SFU) de
gestion des identités Microsoft pour Unix
nslcd
SSSD
FreeIPA
Centrify
PowerBroker ( née même )
Winbind semblait toujours terrible et peu fiable. Les solutions commerciales comme Centrify et Liklike ont toujours fonctionné, mais semblaient inutiles, car cette capacité est intégrée dans le système d'exploitation.
Les dernières installations que j'ai faites ont ajouté la fonctionnalité de rôle Microsoft Identity Management pour Unix à un serveur Windows 2008 R2 et NSLCD côté Linux (pour RHEL5). Cela a fonctionné jusqu'à RHEL6, où le manque de maintenance sur NSLCD et les problèmes de gestion des ressources mémoire ont forcé un changement vers SSSD. Red Hat semblait également soutenir l'approche SSSD, donc cela me convenait parfaitement.
Je travaille avec une nouvelle installation où les contrôleurs de domaine sont des systèmes Windows 2008 R2 Core et n'ont pas la possibilité d'ajouter la fonctionnalité de rôle Identity Management pour Unix. Et on me dit que cette fonctionnalité est obsolète n'est plus présente dans Windows Server 2012 R2 .
L'avantage d'avoir ce rôle installé est la présence de cette interface graphique, tout en permettant une administration facile en une étape des attributs utilisateur.
Mais...
L'option Outils Server for Network Information Service (NIS) des Outils d'administration de serveur distant (RSAT) est déconseillée. Utilisez LDAP natif, Samba Client, Kerberos ou des options non Microsoft.
Il est donc très difficile de s'y fier s'il peut rompre la compatibilité ascendante. Le client veut utiliser Winbind, mais tout ce que je vois du côté de Red Hat pointe vers l'utilisation de SSSD.
Quelle est la bonne approche?
Comment gérez-vous cela dans votre environnement?