июл 132012
 

Предпосылки/требования к системе:
1. работа под Linux
2. уменьшение затрат на серверное ПО/клиентские лицензии
3. возможность работы нескольких не связанных организаций на одном сервере — т.е. древовидная структура
4. кластеризация
5. поддержка SSO (single sign on)

Возможные варианты:
Microsoft Active Directory
+
— широкое распостранение
— для авторизации/аутентификации присутствуют все необходимые компоненты

— несоотвествие требованиям — пп. 1-3

Novell eDirectory
+
— для авторизации/аутентификации присутствуют все необходимые компоненты

— несоотвествие требованиям — пп. 2,4,5 — кластер собственно из нескольких серверов собрать можно, но с кластеризацией файловой системы проблема: установка и настройка на тестовой системе пакетов кластеризации (после установки основной системы — OES11) прошла успешно, но кластер не запускался ч выдачей сообщения об ошибке. Перенастройка ничего не давала. Сервер установленный заново сразу с поддержкой кластеризации таких проблем не имел. при этом настройки были одинаковые.

Для тестирования других вариантов в качестве клиенской системы был выбран Windows XP с привязкой к Kerberos realm

Бесплатные варианты:

1. LDAP (тестировался openLDAP) + Kerberos (MIT Kerberos), интеграция самостоятельно
+
— компоненты системы и система в целом полностью конфигурируема

— присуствовало много проблем при установке — существует большое количество руководств в интернете, но в основном они либо неполны, либо содержат ошибки

2. Apache DirectoryServer
+
— легкая установка
— интегрированность LDAP и Kerberos в одно целое

— полностью протестировать не удалось, в связи с недостаточной документацией — на время тестирования стабильной являлась версия 2.0, при этом документации по ней не было вообще, наличествовала документация по версии 1.5 со ссылками на документацию по версии 1.0. Например в документации по настройке повсеместно были указания на файл server.xml, при этом, как оказалось, в версии 2.0 этот файл удален, а все настройки находятся непосредствено в LDAP

3. RedHat FreeIPA
+
— легкая установка
— интеграция необходимых компонентов (389DS, MIT Kerberos, Dogtag Certificate System) в одно целое

— несоответствие требованиям по п.3
— после стандартной установки, у админисратора нехватало прав для изменения у пользователя значения поля krbPasswordExpiration
— возможно и не недостаток, но: система существует только для OS, имеющих отношение к RedHat, т.е. RHEL, CenOS и Fedora

Продолжение следует….

 Leave a Reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(required)

(required)