巧用活動目錄省卻Linux認證的麻煩
活動目錄對于windows系統來說至關重要,同樣,活動目錄對于linux系統來說也具有同樣重要的作用。具體內容如下所述。
在異構數據中心中,無論如何劃分,管理訪問和管理身份都可能很費時。在用戶數據散布于元目錄或公司其他位置的情況下,為異構數據創建單點登錄技術會讓許多IT部門苦惱。
讓事情更復雜的是,異構數據中心中的Linux認證解決方案非常多,找到合適的解決方案可能和解決問題本身一樣困難。在系統管理員權衡各種選擇時,核心的問題是:有沒有其他方案優于微軟的活動目錄(AD)?
大多數元目錄部署將數據同步到至少一個輕量級目錄訪問協議(LDAP)目錄服務器以確保LDAP應用如單點登陸能夠訪問最近的數據。系統管理員還可以為其Linux和Unixbox創建專門的LDAP目錄。另外IBM、CA和HP公司也提供了相關應用程序,但價格較高。也有一些老式的方法,如SunMicrosystem的用于密碼管理的網絡信息服務,但專家警告這一方法通常不符合IT管理規范如薩班斯-奧克斯萊法案(SOX)。
活動目錄是解決方案嗎?
但許多分析師稱活動目錄(微軟對LDAP目錄服務的實現以提供Windows環境下的集中認證和授權服務)就是問題的答案。專家稱,在活動目錄中維護一個單一的信息存儲庫而不是建立一系列LDAP目錄將更易于管理。
為什么解決方案是活動目錄?“因為它就在那里,”來自康涅狄格州斯坦福德市Gartner公司的研究副總裁AntAllan博士說,“活動目錄在大多數組織中都幾乎是一個無處不在的平臺。”
即使Linux對關鍵任務數據中心的運行越來越重要,但微軟的這一技術在有多點控制和多個用戶身份存儲庫的環境中仍有意義,Allan說。
來自麻省弗雷明漢市IDC公司的分析師SallyHudson指出:考慮到嚴格的管理標準如薩班斯-奧克斯萊法案,使用活動目錄策略對IT經理們最為有利。
“活動目錄無處不在。用戶需要利用其在活動目錄上的現有投資來消除身份認證的割裂狀態并在混合環境中提供細粒度的訪問控制機制,”她說道。
使用活動目錄的理由
Centrify公司的首席技術官(CTO)PaulMoore說他經常需要向Unix和Linux管理員解釋活動目錄,Moore將于下周出席在舊金山舉辦的LinuxWorldConference&Expo大會的一次關于認證問題的討論。
“合理的解釋是需要的,因為我們正在努力爭取企業中的Unix群體;我們試圖說服組織中的Linux和Unix管理員將活動目錄作為主安全存儲是很好的選擇,”他說。
另外,已經出現了大量的活動目錄工具,這也成為使用活動目錄的理由。
Centrify公司的活動目錄同步管理和認證軟件Centrify
DirectControl用于在Linux(Unix)機器上進行集中密碼和用戶權限管理。其他的第三方應用程序如Centeris
LikewiseIdentity3.0和Quest軟件公司的VintelaAuthentication
Services也提供了類似的功能。另外還有位于拉斯維加斯的VanguardIntegrity
Professionals公司的大型機應用程序可供使用。
Moore稱活動目錄在以往并沒有嚴重的安全漏洞,即使是考慮到本月早些時候發布的針對Windows2000Server和WindowsServer2003的MS07-038活動目錄更新。以前的缺陷可能使攻擊者能夠創建惡意的LDAP請求以控制受影響的系統,但只有在攻擊者能夠登錄公司內部網絡時這種情況才會發生,微軟的一份關于MS07-039的報告中解釋道。
即便如此,Moore稱使用率是本活動目錄的首要優勢,這一技術仍然自豪地擁有80%-85%的市場。
“我們通常會遇到兩種類型的Linux(Unix)管理員:接受活動目錄的
管理員和認為活動目錄會不可避免地帶來麻煩的管理員,”Moore說。對于后者,Moore和他的團隊強調活動目錄的安全性以及其目前能夠滿足法規要求這
一事實。“如果看看支付卡行業數據安全標準(PaymentCardIndustryDataSecurityStandard――PCI
DSS),會發現活動目錄已經符合其中的大部分規定。因此,如果將活動目錄延伸到非Windows系統中,將會使非Windows系統也符合PCI規范,”他說。
應用活動目錄時的考慮事項
在8月9日的LinuxWorld會議上,Moore將為確定數據中心的準備狀態提供一份要考慮事項的清單。
作為會議材料的預覽,Moore給出了在評估實施集中式活動目錄的可行性時IT經理們應該考慮的一些相對重要的問題:
要在何種類型的機器上實施活動目錄?
準備在這些系統上執行何種策略?
哪些服務器能夠訪問環境中的相應系統?
是否真正清楚現在有哪些人能夠訪問系統?(即使用戶ID是從現有Linux服務器中取出并帶入到活動目錄,服務器也不清楚該ID是否相關或者應否授予其訪問權限,他說,這就帶來了安全性和SOX遵守方面的擔擾。)
最后,IT經理們需要確定誰有訪問權以及誰應該有訪問權,他們需要建立技術和業務需求之間的真正交點。(文波編譯)
希望本文介紹的利用用活動目錄省卻Linux認證的麻煩的內容能夠對讀者有所幫助。
【編輯推薦】
