Ersatz eines NIS-Server - aber wodurch? Wie "macht man das" heute?
Hallo, ich habe hier eine Umgebung mit etwa 80 Linux-Maschinen und 100 Benutzeraccounts und einem NFS-Server für die Homedirectories, die mit autofs gemountet werden. Seit fast 20 Jahren funktioniert das gut mit Authentifizierung über NIS, auch mit historischen - inzwischen aber allesamt nicht mehr laufenden - IRIX-, HPUX-, Solaris- und AIX-Maschinen. Die heutigen NIS- und NFS-Server sind natürlich nicht mehr dieselben wie am Anfang, sondern laufen mit aktuellem openSUSE 15.3. Eigentlich sollte NIS schon vor Jahren abgelöst werden, am besten durch Kopplung an unser Active Directory in irgendeiner Form. Gut, dass ich mich damit nicht so beeilt habe, die damals aktuelle Lösung mit der AD-Erweiterung nach RFC 2307 existiert ja schon wieder nicht mehr. Wie macht man das heute? Ich liste mal die Randbedingungen auf: - etwa 80 Linux-Maschinen unter openSUSE 15.3, CentOS 7/8, Ubuntu 18.04 bis 22.04 und zusätzlich ein paar historische SLES 11 bis 12. - die NFS-Homedirectories mit autofs sollen in dieser Form weiterbetrieben werden. - etwa 100 Accounts, die zum Teil andere Namen als im AD haben oder dort gar nicht vorkommen - also ist ein Mapping erforderlich. - möglichst keine Änderungen am Active Directory, außer gegebenfalls die Einrichtung der zusätzlich nötigen Accounts - Lösung möglichst mit openSUSE-Bordmitteln - Kein samba-Server Vor einiger Zeit hatte ich den FreeIPA-Server entdeckt, damals hieß es, der werde auch in openSUSE aufgenommen. Leider hat er es heute nur bis in Tumbleweed geschafft, das ist für mich keine Option für eine Produktivumgebung. Ansonsten wäre der wohl geeignet gewesen. Hat vielleicht jemand hier etwas geeignetes laufen? Dann wäre ich für Tips dankbar. Es muss nicht notwendigerweise das Active Directory verwendet werden, aber das liegt natürlich nahe. -- Viele Grüße Michael
Am Thu, 19 May 2022 11:59:17 +0200
schrieb Michael Behrens
Hallo,
ich habe hier eine Umgebung mit etwa 80 Linux-Maschinen und 100 Benutzeraccounts und einem NFS-Server für die Homedirectories, die mit autofs gemountet werden.
Seit fast 20 Jahren funktioniert das gut mit Authentifizierung über NIS, auch mit historischen - inzwischen aber allesamt nicht mehr laufenden - IRIX-, HPUX-, Solaris- und AIX-Maschinen. Die heutigen NIS- und NFS-Server sind natürlich nicht mehr dieselben wie am Anfang, sondern laufen mit aktuellem openSUSE 15.3.
Eigentlich sollte NIS schon vor Jahren abgelöst werden, am besten durch Kopplung an unser Active Directory in irgendeiner Form. Gut, dass ich mich damit nicht so beeilt habe, die damals aktuelle Lösung mit der AD-Erweiterung nach RFC 2307 existiert ja schon wieder nicht mehr.
Wie macht man das heute?
Das wird heute durch LDAP gelöst, RFC-4510 und folgende. Ich kann nur OpenLDAP empfehlen. Alle von dir aufgeführten Distributionen haben eine libldap Implementierung. http://www.openldap.org -Dieter
Ich liste mal die Randbedingungen auf:
- etwa 80 Linux-Maschinen unter openSUSE 15.3, CentOS 7/8, Ubuntu 18.04 bis 22.04 und zusätzlich ein paar historische SLES 11 bis 12.
- die NFS-Homedirectories mit autofs sollen in dieser Form weiterbetrieben werden.
- etwa 100 Accounts, die zum Teil andere Namen als im AD haben oder dort gar nicht vorkommen - also ist ein Mapping erforderlich.
- möglichst keine Änderungen am Active Directory, außer gegebenfalls die Einrichtung der zusätzlich nötigen Accounts
- Lösung möglichst mit openSUSE-Bordmitteln
- Kein samba-Server
Vor einiger Zeit hatte ich den FreeIPA-Server entdeckt, damals hieß es, der werde auch in openSUSE aufgenommen. Leider hat er es heute nur bis in Tumbleweed geschafft, das ist für mich keine Option für eine Produktivumgebung. Ansonsten wäre der wohl geeignet gewesen.
Hat vielleicht jemand hier etwas geeignetes laufen? Dann wäre ich für Tips dankbar. Es muss nicht notwendigerweise das Active Directory verwendet werden, aber das liegt natürlich nahe.
-- Dieter Klünter | Systemberatung http://sys4.de GPG Key ID: E9ED159B 53°37'09,95"N 10°08'02,42"E
Am 19.05.22 um 12:12 schrieb Dieter Klünter:
Das wird heute durch LDAP gelöst, RFC-4510 und folgende. Ich kann nur OpenLDAP empfehlen. Alle von dir aufgeführten Distributionen haben eine libldap Implementierung. http://www.openldap.org
openldap ist keine zukunftsträchtige Lösung mehr, hier ist er abgekündigt: https://www.suse.com/releasenotes/x86_64/SUSE-SLES/15-SP1/index.html Abschnitt "6.3.2 389 Directory Server Is the Primary LDAP Server, the OpenLDAP Server Is Deprecated" und in den Release Notes für 15.4 heißt es "389 Directory Server replaces OpenLDAP as the LDAP directory service." Nachfolger ist also der "389 Directory Server", hat jemand hier Erfahrung damit als Identity Server? In dem Fall dann wohl ohne AD-Verbindung. Oder kann man die Authentifizierung ans AD delegieren, nach vorhergehendem username mapping? -- Viele Grüße Michael
Am 19.05.2022 um 17:27 schrieb Michael Behrens:
Am 19.05.22 um 12:12 schrieb Dieter Klünter:
Das wird heute durch LDAP gelöst, RFC-4510 und folgende. Ich kann nur OpenLDAP empfehlen. Alle von dir aufgeführten Distributionen haben eine libldap Implementierung. http://www.openldap.org
openldap ist keine zukunftsträchtige Lösung mehr, hier ist er abgekündigt:
https://www.suse.com/releasenotes/x86_64/SUSE-SLES/15-SP1/index.html
Abschnitt "6.3.2 389 Directory Server Is the Primary LDAP Server, the OpenLDAP Server Is Deprecated"
und in den Release Notes für 15.4 heißt es "389 Directory Server replaces OpenLDAP as the LDAP directory service."
Nachfolger ist also der "389 Directory Server", hat jemand hier Erfahrung damit als Identity Server? In dem Fall dann wohl ohne AD-Verbindung. Oder kann man die Authentifizierung ans AD delegieren, nach vorhergehendem username mapping?
freeipa wäre auch noch ein Stichwort. Gruß
Am Thu, 19 May 2022 17:45:15 +0200
schrieb "Prengel, Ralf"
Am 19.05.2022 um 17:27 schrieb Michael Behrens:
Am 19.05.22 um 12:12 schrieb Dieter Klünter:
Das wird heute durch LDAP gelöst, RFC-4510 und folgende. Ich kann nur OpenLDAP empfehlen. Alle von dir aufgeführten Distributionen haben eine libldap Implementierung. http://www.openldap.org
openldap ist keine zukunftsträchtige Lösung mehr, hier ist er abgekündigt:
https://www.suse.com/releasenotes/x86_64/SUSE-SLES/15-SP1/index.html
Abschnitt "6.3.2 389 Directory Server Is the Primary LDAP Server, the OpenLDAP Server Is Deprecated"
Das liegt am SuSE Management. Zur Geschichte der Entwicklung von LDAP und OpenLDAP kannst du gerne meinen Netzspuren folgen. Die SuSE GmbH hat seit 1996 die Entwicklung von OpenLDAP intensiv gefördert.
und in den Release Notes für 15.4 heißt es "389 Directory Server replaces OpenLDAP as the LDAP directory service."
Das halte ich für eine unternehmerische Fehlentscheidung.
Nachfolger ist also der "389 Directory Server", hat jemand hier Erfahrung damit als Identity Server? dem Fall dann wohl ohne AD-Verbindung. Oder kann man die Authentifizierung ans AD delegieren, nach vorhergehendem username mapping?
386 Directory Server ist nichts anderes als der Netscape iplanet von 1998. Die einzige Änderung ist die Database von SleepyCat, (Berkeley-DB).
freeipa wäre auch noch ein Stichwort.
Das ist die Abbildung eines Active Directory auf Redhat Linux, mit begrenzten MIT-Kerberos-5 Optionen. Wobei Microsoft Active Directory auf eine MIT-Krb5 Entwicklung aufbaut. Das Entwickler-Team von OpenLDAP ist immer noch aktiv. https://www.openldap.org/ -Dieter -- Dieter Klünter | Systemberatung http://sys4.de GPG Key ID: E9ED159B 53°37'09,95"N 10°08'02,42"E ,
Am Donnerstag, 19. Mai 2022, 20:27:45 CEST schrieb Dieter Klünter:
freeipa wäre auch noch ein Stichwort.
Das ist die Abbildung eines Active Directory auf Redhat Linux, mit
Woher hast Du diese Aussage? Das FreeIPA-Team selber sagt ganz klar, FreeIPA ist eben *kein* AD. Wass FreeIPA da kann ist, cross-trusts *mit* AD und anderen. FreeIPA ist ein LDAP+KRB5 Server der geeignete Verwaltungstools (WebGUI + cmdline) gleich mitbringt und vom schema her speziell für Einsatz mit Linux vorkonfiguriert ist (Schemas und so weiter). Cheers MH -- Mathias Homann Mathias.Homann@openSUSE.org Jabber (XMPP): lemmy@tuxonline.tech Matrix: @mathias:eregion.de IRC: [Lemmy] on freenode and ircnet (bouncer active) keybase: https://keybase.io/lemmy gpg key fingerprint: 8029 2240 F4DD 7776 E7D2 C042 6B8E 029E 13F2 C102
Zitat von Mathias Homann
Am Donnerstag, 19. Mai 2022, 20:27:45 CEST schrieb Dieter Klünter:
freeipa wäre auch noch ein Stichwort.
Das ist die Abbildung eines Active Directory auf Redhat Linux, mit
Woher hast Du diese Aussage? Das FreeIPA-Team selber sagt ganz klar, FreeIPA ist eben *kein* AD. Wass FreeIPA da kann ist, cross-trusts *mit* AD und anderen.
FreeIPA ist ein LDAP+KRB5 Server der geeignete Verwaltungstools (WebGUI + cmdline) gleich mitbringt und vom schema her speziell für Einsatz mit Linux vorkonfiguriert ist (Schemas und so weiter).
Ggf hilft auch https://www.univention.de/ als ganzheitlicher Ansatz weiter. Gruß
Hallo Ralf, siehe meine Eingangsmail: FreeIPA war auch mein Favorit, als ich vor einiger Zeit davon gelesen hatte. Wird aber leider in openSUSE 15.3 nicht unterstützt, obwohl das seinerzeit sogar angekündigt war, auch nicht in SLES, nur in Tumbleweed. Und offenbar - siehe den Link dazu in einer Mail von Mathias Homann - hakt sogar der Client-Betrieb von openSUSE 15.3 an FreeIPA. Am 19.05.22 um 17:45 schrieb Prengel, Ralf:
freeipa wäre auch noch ein Stichwort. Gruß
-- Viele Grüße Michael
Am Do., 19. Mai 2022 um 17:28 Uhr schrieb Michael Behrens
Nachfolger ist also der "389 Directory Server", hat jemand hier Erfahrung damit als Identity Server? In dem Fall dann wohl ohne AD-Verbindung. Oder kann man die Authentifizierung ans AD delegieren, nach vorhergehendem username mapping?
Keine Erfahrung, aber das sollte gehen. https://documentation.suse.com/sles/15-SP3/html/SLES-all/cha-security-ldap.h... https://de.wikipedia.org/wiki/389_Directory_Server https://de.wikipedia.org/wiki/FreeIPA Gruß Martin
On 19.05.22 17:27, Michael Behrens wrote:
Am 19.05.22 um 12:12 schrieb Dieter Klünter:
Das wird heute durch LDAP gelöst, RFC-4510 und folgende. Ich kann nur OpenLDAP empfehlen. Alle von dir aufgeführten Distributionen haben eine libldap Implementierung. http://www.openldap.org
openldap ist keine zukunftsträchtige Lösung mehr, hier ist er abgekündigt:
Für SLES, ja. Ansonsten ist das Projekt durchaus lebendig. Es gibt da auch für openSUSE Paketquellen, eine wurde ja schon genannt. Viele Grüße Ulf (der gerade von OpenLDAP 2.4 auf 2.6 migriert)
Am Thu, 19 May 2022 11:59:17 +0200
schrieb Michael Behrens
Hallo,
ich habe hier eine Umgebung mit etwa 80 Linux-Maschinen und 100 Benutzeraccounts und einem NFS-Server für die Homedirectories, die mit autofs gemountet werden.
Seit fast 20 Jahren funktioniert das gut mit Authentifizierung über NIS, auch mit historischen - inzwischen aber allesamt nicht mehr laufenden - IRIX-, HPUX-, Solaris- und AIX-Maschinen. Die heutigen NIS- und NFS-Server sind natürlich nicht mehr dieselben wie am Anfang, sondern laufen mit aktuellem openSUSE 15.3.
Eigentlich sollte NIS schon vor Jahren abgelöst werden, am besten durch Kopplung an unser Active Directory in irgendeiner Form. Gut, dass ich mich damit nicht so beeilt habe, die damals aktuelle Lösung mit der AD-Erweiterung nach RFC 2307 existiert ja schon wieder nicht mehr.
Wie macht man das heute?
Ich liste mal die Randbedingungen auf:
- etwa 80 Linux-Maschinen unter openSUSE 15.3, CentOS 7/8, Ubuntu 18.04 bis 22.04 und zusätzlich ein paar historische SLES 11 bis 12.
- die NFS-Homedirectories mit autofs sollen in dieser Form weiterbetrieben werden.
- etwa 100 Accounts, die zum Teil andere Namen als im AD haben oder dort gar nicht vorkommen - also ist ein Mapping erforderlich.
- möglichst keine Änderungen am Active Directory, außer gegebenfalls die Einrichtung der zusätzlich nötigen Accounts
- Lösung möglichst mit openSUSE-Bordmitteln
- Kein samba-Server
Vor einiger Zeit hatte ich den FreeIPA-Server entdeckt, damals hieß es, der werde auch in openSUSE aufgenommen. Leider hat er es heute nur bis in Tumbleweed geschafft, das ist für mich keine Option für eine Produktivumgebung. Ansonsten wäre der wohl geeignet gewesen.
Hat vielleicht jemand hier etwas geeignetes laufen? Dann wäre ich für Tips dankbar. Es muss nicht notwendigerweise das Active Directory verwendet werden, aber das liegt natürlich nahe.
zypper if openldap2 Name : openldap2 Version : 2.6.2-7.1 Arch : x86_64 Vendor : obs://build.opensuse.org/home:stroeder Installed Size : 3.3 MiB Installed : Yes Status : up-to-date Source package : openldap2-2.6.2-7.1.src Upstream URL : https://www.openldap.org Summary : An open source implementation of the Lightweight Directory Access Protocol Description : OpenLDAP is a client and server reference implementation of the Lightweight Directory Access Protocol v3 (LDAPv3). -- Dieter Klünter | Systemberatung http://sys4.de GPG Key ID: E9ED159B 53°37'09,95"N 10°08'02,42"E
Am Donnerstag, 19. Mai 2022, 11:59:17 CEST schrieb Michael Behrens: Zu FreeIPA und openSUSE: https://www.tuxonline.tech/index.php/2022/05/13/good-bye-nis-or-how-to-migra... und das kurze Follow-Up zu Leap 15.3 und 15.4: https://www.tuxonline.tech/index.php/2022/05/15/a-quick-followup-about-ipa-a... Cheers Mathias -- Mathias Homann Mathias.Homann@openSUSE.org Jabber (XMPP): lemmy@tuxonline.tech Matrix: @mathias:eregion.de IRC: [Lemmy] on freenode and ircnet (bouncer active) keybase: https://keybase.io/lemmy gpg key fingerprint: 8029 2240 F4DD 7776 E7D2 C042 6B8E 029E 13F2 C102
Hallo Matthias, danke für deine Antwort. Am 19.05.22 um 20:12 schrieb Mathias Homann:
Am Donnerstag, 19. Mai 2022, 11:59:17 CEST schrieb Michael Behrens:
Zu FreeIPA und openSUSE: https://www.tuxonline.tech/index.php/2022/05/13/good-bye-nis-or-how-to-migra...
Darin heißt es bezüglich openSUSE Leap als Client: openSUSE Leap 15.3: no luck. the freeipa-client needs authselect, which in term needs a version of PAM that is newer than what’s available for 15.3. And then it still doesn’t work – it seems that somehow kinit is broken / weird on Leap. Have to play with that some more.
und das kurze Follow-Up zu Leap 15.3 und 15.4: https://www.tuxonline.tech/index.php/2022/05/15/a-quick-followup-about-ipa-a...
Solch zentrale Pakete aus nicht-offiziellen Quellen möchte ich ich in der Produktivumgebung aber sicher nicht haben. Die ist ja nicht mein Privatvergnügen. -- Viele Grüße Michael
Am Freitag, 20. Mai 2022, 09:31:20 CEST schrieb Michael Behrens:
Hallo Matthias,
danke für deine Antwort.
Am 19.05.22 um 20:12 schrieb Mathias Homann:
Am Donnerstag, 19. Mai 2022, 11:59:17 CEST schrieb Michael Behrens:
Zu FreeIPA und openSUSE: https://www.tuxonline.tech/index.php/2022/05/13/good-bye-nis-or-how-to-mig rate-a-hybrid-mixed-environment-to-freeipa/
Darin heißt es bezüglich openSUSE Leap als Client:
Weiss ich, hab ich ja selber da geschrieben :)
und das kurze Follow-Up zu Leap 15.3 und 15.4: https://www.tuxonline.tech/index.php/2022/05/15/a-quick-followup-about-ipa -and-opensuse-leap/
Solch zentrale Pakete aus nicht-offiziellen Quellen möchte ich ich in der Produktivumgebung aber sicher nicht haben. Die ist ja nicht mein Privatvergnügen.
Kann ich verstehen. Wenn's "Prod" ist, nimm SLES & mach ein Ticket auf... bei RHEL9 ist übrigens der Support für NIS komplett weg. -- Mathias Homann Mathias.Homann@openSUSE.org OBS: lemmy04 Jabber (XMPP): lemmy@tuxonline.tech Matrix: @mathias:eregion.de IRC: [Lemmy] on liberachat and ircnet (bouncer active) keybase: https://keybase.io/lemmy gpg key fingerprint: 8029 2240 F4DD 7776 E7D2 C042 6B8E 029E 13F2 C102
Hallo Michael, hallo zusammen, Am Freitag, 20. Mai 2022, 09:31:20 CEST schrieb Michael Behrens:
Darin heißt es bezüglich openSUSE Leap als Client:
openSUSE Leap 15.3: no luck. the freeipa-client needs authselect, which in term needs a version of PAM that is newer than what’s available for 15.3. And then it still doesn’t work – it seems that somehow kinit is broken / weird on Leap. Have to play with that some more.
In der openSUSE-Infrastruktur nutzen wir FreeIPA (lustigerweise auf einer Fedora-VM ;-) und haben diverse Leap-VMs, die ihre Benutzer und Gruppen aus FreeIPA beziehen. Das ganze ist über sssd implementiert [1]. Die SSH-Pubkeys werden über ein kleines Script mit einer LDAP-Abfrage von FreeIPA abgeholt. Ich weiß natürlich nicht, ob das für Dich "gut genug" ist oder ob es Bereiche gibt, die sich mit sssd nicht abdecken lassen. Gruß Christian Boltz [1] Details in https://code.opensuse.org/heroes/salt oder auf Anfrage -- That'll be a lot of facepalming today. [Jan Engelhardt in opensuse-factory]
Am 20.05.2022 um 13:40 schrieb Christian Boltz:
In der openSUSE-Infrastruktur nutzen wir FreeIPA (lustigerweise auf einer Fedora-VM ;-) und haben diverse Leap-VMs, die ihre Benutzer und Gruppen aus FreeIPA beziehen. Das ganze ist über sssd implementiert [1].
Mein FreeIPA läuft in docker, das Image ist das offizielle vom FreeIPA team, das basiert auf centos 8 :)
Die SSH-Pubkeys werden über ein kleines Script mit einer LDAP-Abfrage von FreeIPA abgeholt.
Braucht man eigentlich gar nicht - ich hab die Pubkeys in den Useraccounts im IPA hinterlegt - also die keys die man eigentlich lokal in die ~/.ssh/authorized_keys des entsprechenden users tun würde - und dann noch die sshd-config bei RHEL8 abgekuckt :)
Ich weiß natürlich nicht, ob das für Dich "gut genug" ist oder ob es Bereiche gibt, die sich mit sssd nicht abdecken lassen.
/etc/ethers geht zb. nur per nis aber nicht per ipa. Dafür hab ich mir ein ansible play geschrieben was die handvoll macadressen die ich gern per WOL wecke auf den entsprechenden workstations in /etc/ethers einträgt, und gut ist. cheers MH -- Mathias Homann Mathias.Homann@openSUSE.org Jabber (XMPP): lemmy@tuxonline.tech IRC: [Lemmy] on freenode and ircnet (bouncer active) keybase: https://keybase.io/lemmy gpg key fingerprint: 8029 2240 F4DD 7776 E7D2 C042 6B8E 029E 13F2 C102
participants (8)
-
Christian Boltz
-
Dieter Klünter
-
Martin Schröder
-
Mathias Homann
-
Michael Behrens
-
Prengel, Ralf
-
Ralf Prengel
-
Ulf Volmer