巧用活动目录省却Linux认证的麻烦

活动目录对于windows系统来说至关重要，同样，活动目录对于linux系统来说也具有同样重要的作用。具体内容如下所述。

在异构数据中心中，无论如何划分，管理访问和管理身份都可能很费时。在用户数据散布于元目录或公司其他位置的情况下，为异构数据创建单点登录技术会让许多IT部门苦恼。

让事情更复杂的是，异构数据中心中的Linux认证解决方案非常多，找到合适的解决方案可能和解决问题本身一样困难。在系统管理员权衡各种选择时，核心的问题是：有没有其他方案优于微软的活动目录(AD)?

大多数元目录部署将数据同步到至少一个轻量级目录访问协议(LDAP)目录服务器以确保LDAP应用如单点登陆能够访问最近的数据。系统管理员还可以为其Linux和Unixbox创建专门的LDAP目录。另外IBM、CA和HP公司也提供了相关应用程序，但价格较高。也有一些老式的方法，如SunMicrosystem的用于密码管理的网络信息服务，但专家警告这一方法通常不符合IT管理规范如萨班斯-奥克斯莱法案(SOX)。

活动目录是解决方案吗?

但许多分析师称活动目录(微软对LDAP目录服务的实现以提供Windows环境下的集中认证和授权服务)就是问题的答案。专家称，在活动目录中维护一个单一的信息存储库而不是建立一系列LDAP目录将更易于管理。

为什么解决方案是活动目录?“因为它就在那里，”来自康涅狄格州斯坦福德市Gartner公司的研究副总裁AntAllan博士说，“活动目录在大多数组织中都几乎是一个无处不在的平台。”

即使Linux对关键任务数据中心的运行越来越重要，但微软的这一技术在有多点控制和多个用户身份存储库的环境中仍有意义，Allan说。

来自麻省弗雷明汉市IDC公司的分析师SallyHudson指出：考虑到严格的管理标准如萨班斯-奥克斯莱法案，使用活动目录策略对IT经理们最为有利。

“活动目录无处不在。用户需要利用其在活动目录上的现有投资来消除身份认证的割裂状态并在混合环境中提供细粒度的访问控制机制，”她说道。

使用活动目录的理由

Centrify公司的首席技术官(CTO)PaulMoore说他经常需要向Unix和Linux管理员解释活动目录，Moore将于下周出席在旧金山举办的LinuxWorldConference&Expo大会的一次关于认证问题的讨论。

“合理的解释是需要的，因为我们正在努力争取企业中的Unix群体;我们试图说服组织中的Linux和Unix管理员将活动目录作为主安全存储是很好的选择，”他说。

另外，已经出现了大量的活动目录工具，这也成为使用活动目录的理由。

Centrify公司的活动目录同步管理和认证软件Centrify

DirectControl用于在Linux(Unix)机器上进行集中密码和用户权限管理。其他的第三方应用程序如Centeris

LikewiseIdentity3.0和Quest软件公司的VintelaAuthentication

Services也提供了类似的功能。另外还有位于拉斯维加斯的VanguardIntegrity

Professionals公司的大型机应用程序可供使用。

Moore称活动目录在以往并没有严重的安全漏洞，即使是考虑到本月早些时候发布的针对Windows2000Server和WindowsServer2003的MS07-038活动目录更新。以前的缺陷可能使攻击者能够创建恶意的LDAP请求以控制受影响的系统，但只有在攻击者能够登录公司内部网络时这种情况才会发生，微软的一份关于MS07-039的报告中解释道。

即便如此，Moore称使用率是本活动目录的首要优势，这一技术仍然自豪地拥有80%-85%的市场。

“我们通常会遇到两种类型的Linux(Unix)管理员：接受活动目录的

管理员和认为活动目录会不可避免地带来麻烦的管理员，”Moore说。对于后者，Moore和他的团队强调活动目录的安全性以及其目前能够满足法规要求这

一事实。“如果看看支付卡行业数据安全标准(PaymentCardIndustryDataSecurityStandard――PCI

DSS)，会发现活动目录已经符合其中的大部分规定。因此，如果将活动目录延伸到非Windows系统中，将会使非Windows系统也符合PCI规范，”他说。

应用活动目录时的考虑事项

在8月9日的LinuxWorld会议上，Moore将为确定数据中心的准备状态提供一份要考虑事项的清单。

作为会议材料的预览，Moore给出了在评估实施集中式活动目录的可行性时IT经理们应该考虑的一些相对重要的问题：

要在何种类型的机器上实施活动目录?

准备在这些系统上执行何种策略?

哪些服务器能够访问环境中的相应系统?

是否真正清楚现在有哪些人能够访问系统?(即使用户ID是从现有Linux服务器中取出并带入到活动目录，服务器也不清楚该ID是否相关或者应否授予其访问权限，他说，这就带来了安全性和SOX遵守方面的担扰。)

最后，IT经理们需要确定谁有访问权以及谁应该有访问权，他们需要建立技术和业务需求之间的真正交点。(文波编译)

希望本文介绍的利用用活动目录省却Linux认证的麻烦的内容能够对读者有所帮助。

【编辑推荐】

1. Windows 2000之活动目录使用技巧
2. 让活动目录在复制过程中更好地运行
3. 活动目录在.Net环境下如何用C#操纵？
4. 用ADSI实现自动化的活动目录操作方法
5. 如何转移活动目录到Windows Server 2008 R2？