NIS / YPの代替品

redhatの人々からfreeipa（ http://freeipa.org ）を試すことができます。これはnis/ypを置き換えることを目的としており、ボーナスとしてkerberized環境を提供します。もちろん、pam_ldapだけでクライアントをプラグインすることもできますが、シングルサインオンは失われます。

ちなみに、ユーザーをADと同期することもできます。

Microsoftは、Services For Unixと呼ばれるものを持っていました（現在も存在しますが、名前は異なります。現在は「UNIXベースアプリケーション（SUA）のサブシステム」になっています）-含まれている機能の中には、ADからNISへのゲートウェイがあります。 ADドメインに効果的にスレーブ化されるNISドメインを作成します。
UNIX環境は異種混合であるため、これはおそらく最も抵抗の少ないパスです。UNIXシステムに関する限り、それはまだ単なる古いものであるため、NISを理解したものはすべてMSNISサーバーを理解します。 NISサーバー。

別のオプションはpam_ldapd（またはpam_ldap + nss_ldap）です-これはADサーバーに対して直接クエリを実行し、NISのいくつかの制限を回避しますが、ネットグループのサポートなどがこれらでどれほど優れているかはわかりません（私は知っていますpam_ldap + nss_ldapは、FreeBSDで機能するネットグループをサポートしていません）。

すでにADを社内に持っている場合は、freeipa/RedhatIDMをActiveDirectoryの信頼できるドメインとして設定することを検討することをお勧めします。無料であることに加えて、これにより、IPAでアクセス制御とポリシーを設定しながら、ADで既存のすべてのユーザーとグループの情報を使用できます。

また、KerberosとSSOの可能性もあります。この設定のIpaは、広告グループをネットグループ（nisなど）として表示します。

これには、Nice Web GUIと、内部の役割ベースのアクセス制御（たとえば、ホストをKerberosレルムに参加できるユーザー、Sudoを管理できるユーザーなど）が付属しています。

すべてのクライアントは、ipaまたはADのいずれかに対して認証できる必要があります。

QAS（どちらのバージョン）も、コストが非常識になることを除けば、私の意見では理想的なソリューションです。また、ADへのスキーマの変更も必要です。これ自体は問題ありませんが、AD担当者はそれを好まない可能性があります。

新しいバージョンのwinbindは、3.xよりもはるかに安定していますが、各ホストでアクセスポリシー（Sudo、ssh）を構成する必要があります。

私はセントリファイのために話すことはできません。

Winbindは、特にRIDオプションで正常に機能します。 ADサーバーをunixボックスのNTPの母体として使用すると、作業が少し簡単になり、正常に機能します。次に、ケルベロスをADで動作させる、非常に簡単です。ntpが機能していることを確認してください。クライアントはDNSにadを使用しています。winbindのRIDオプションは、ユーザーの予測可能なuidとグループのgidを生成します。samba/ winbind構成を使用すると、すべてのユーザーが取得するシェルを選択できます。よくわかりません。個々のユーザーが異なるシェルを持つように構成できる場合、ユーザーはログイン時にいつでも任意のシェルを起動できます。ログイン制限はsshd_configを介して維持でき、グループに基づいて制限されます。古いものから開始する必要があります。マシンとNetappを使用して、インストールするsamba/winbindのバージョンがバックエンドRIDオプションをサポートしているかどうかを確認します。

私はVAS（現在はQuestから別の名前が付けられています）とCentrifyを使用する環境にいました。私はどちらのシステムも維持していませんでした。私はただのユーザーでした。だから、私はあなたが決めるのを助けることはできませんが、それらはいくつかの他の名前です。

私が見たところ、両方とも機能し、両方ともリストされた要件を満たしていましたが、常にいくつかの問題がありました。