Предпосылки/требования к системе:
1. работа под Linux
2. уменьшение затрат на серверное ПО/клиентские лицензии
3. возможность работы нескольких не связанных организаций на одном сервере – т.е. древовидная структура
4. кластеризация
5. поддержка SSO (single sign on)
Возможные варианты:
Microsoft Active Directory
+
– широкое распостранение
– для авторизации/аутентификации присутствуют все необходимые компоненты
–
– несоотвествие требованиям – пп. 1-3
Novell eDirectory
+
– для авторизации/аутентификации присутствуют все необходимые компоненты
–
– несоотвествие требованиям – пп. 2,4,5 – кластер собственно из нескольких серверов собрать можно, но с кластеризацией файловой системы проблема: установка и настройка на тестовой системе пакетов кластеризации (после установки основной системы – OES11) прошла успешно, но кластер не запускался ч выдачей сообщения об ошибке. Перенастройка ничего не давала. Сервер установленный заново сразу с поддержкой кластеризации таких проблем не имел. при этом настройки были одинаковые.
Для тестирования других вариантов в качестве клиенской системы был выбран Windows XP с привязкой к Kerberos realm
Бесплатные варианты:
1. LDAP (тестировался openLDAP) + Kerberos (MIT Kerberos), интеграция самостоятельно
+
– компоненты системы и система в целом полностью конфигурируема
–
– присуствовало много проблем при установке – существует большое количество руководств в интернете, но в основном они либо неполны, либо содержат ошибки
2. Apache DirectoryServer
+
– легкая установка
– интегрированность LDAP и Kerberos в одно целое
–
– полностью протестировать не удалось, в связи с недостаточной документацией – на время тестирования стабильной являлась версия 2.0, при этом документации по ней не было вообще, наличествовала документация по версии 1.5 со ссылками на документацию по версии 1.0. Например в документации по настройке повсеместно были указания на файл server.xml, при этом, как оказалось, в версии 2.0 этот файл удален, а все настройки находятся непосредствено в LDAP
3. RedHat FreeIPA
+
– легкая установка
– интеграция необходимых компонентов (389DS, MIT Kerberos, Dogtag Certificate System) в одно целое
–
– несоответствие требованиям по п.3
– после стандартной установки, у админисратора нехватало прав для изменения у пользователя значения поля krbPasswordExpiration
– возможно и не недостаток, но: система существует только для OS, имеющих отношение к RedHat, т.е. RHEL, CenOS и Fedora
Продолжение следует….