巧用活動目錄省卻Linux認證的麻煩
活動目錄對于windows系統(tǒng)來說至關重要,同樣,活動目錄對于linux系統(tǒng)來說也具有同樣重要的作用。具體內(nèi)容如下所述。
在異構數(shù)據(jù)中心中,無論如何劃分,管理訪問和管理身份都可能很費時。在用戶數(shù)據(jù)散布于元目錄或公司其他位置的情況下,為異構數(shù)據(jù)創(chuàng)建單點登錄技術會讓許多IT部門苦惱。
讓事情更復雜的是,異構數(shù)據(jù)中心中的Linux認證解決方案非常多,找到合適的解決方案可能和解決問題本身一樣困難。在系統(tǒng)管理員權衡各種選擇時,核心的問題是:有沒有其他方案優(yōu)于微軟的活動目錄(AD)?
大多數(shù)元目錄部署將數(shù)據(jù)同步到至少一個輕量級目錄訪問協(xié)議(LDAP)目錄服務器以確保LDAP應用如單點登陸能夠訪問最近的數(shù)據(jù)。系統(tǒng)管理員還可以為其Linux和Unixbox創(chuàng)建專門的LDAP目錄。另外IBM、CA和HP公司也提供了相關應用程序,但價格較高。也有一些老式的方法,如SunMicrosystem的用于密碼管理的網(wǎng)絡信息服務,但專家警告這一方法通常不符合IT管理規(guī)范如薩班斯-奧克斯萊法案(SOX)。
活動目錄是解決方案嗎?
但許多分析師稱活動目錄(微軟對LDAP目錄服務的實現(xiàn)以提供Windows環(huán)境下的集中認證和授權服務)就是問題的答案。專家稱,在活動目錄中維護一個單一的信息存儲庫而不是建立一系列LDAP目錄將更易于管理。
為什么解決方案是活動目錄?“因為它就在那里,”來自康涅狄格州斯坦福德市Gartner公司的研究副總裁AntAllan博士說,“活動目錄在大多數(shù)組織中都幾乎是一個無處不在的平臺。”
即使Linux對關鍵任務數(shù)據(jù)中心的運行越來越重要,但微軟的這一技術在有多點控制和多個用戶身份存儲庫的環(huán)境中仍有意義,Allan說。
來自麻省弗雷明漢市IDC公司的分析師SallyHudson指出:考慮到嚴格的管理標準如薩班斯-奧克斯萊法案,使用活動目錄策略對IT經(jīng)理們最為有利。
“活動目錄無處不在。用戶需要利用其在活動目錄上的現(xiàn)有投資來消除身份認證的割裂狀態(tài)并在混合環(huán)境中提供細粒度的訪問控制機制,”她說道。
使用活動目錄的理由
Centrify公司的首席技術官(CTO)PaulMoore說他經(jīng)常需要向Unix和Linux管理員解釋活動目錄,Moore將于下周出席在舊金山舉辦的LinuxWorldConference&Expo大會的一次關于認證問題的討論。
“合理的解釋是需要的,因為我們正在努力爭取企業(yè)中的Unix群體;我們試圖說服組織中的Linux和Unix管理員將活動目錄作為主安全存儲是很好的選擇,”他說。
另外,已經(jīng)出現(xiàn)了大量的活動目錄工具,這也成為使用活動目錄的理由。
Centrify公司的活動目錄同步管理和認證軟件Centrify
DirectControl用于在Linux(Unix)機器上進行集中密碼和用戶權限管理。其他的第三方應用程序如Centeris
LikewiseIdentity3.0和Quest軟件公司的VintelaAuthentication
Services也提供了類似的功能。另外還有位于拉斯維加斯的VanguardIntegrity
Professionals公司的大型機應用程序可供使用。
Moore稱活動目錄在以往并沒有嚴重的安全漏洞,即使是考慮到本月早些時候發(fā)布的針對Windows2000Server和WindowsServer2003的MS07-038活動目錄更新。以前的缺陷可能使攻擊者能夠創(chuàng)建惡意的LDAP請求以控制受影響的系統(tǒng),但只有在攻擊者能夠登錄公司內(nèi)部網(wǎng)絡時這種情況才會發(fā)生,微軟的一份關于MS07-039的報告中解釋道。
即便如此,Moore稱使用率是本活動目錄的首要優(yōu)勢,這一技術仍然自豪地擁有80%-85%的市場。
“我們通常會遇到兩種類型的Linux(Unix)管理員:接受活動目錄的
管理員和認為活動目錄會不可避免地帶來麻煩的管理員,”Moore說。對于后者,Moore和他的團隊強調(diào)活動目錄的安全性以及其目前能夠滿足法規(guī)要求這
一事實。“如果看看支付卡行業(yè)數(shù)據(jù)安全標準(PaymentCardIndustryDataSecurityStandard――PCI
DSS),會發(fā)現(xiàn)活動目錄已經(jīng)符合其中的大部分規(guī)定。因此,如果將活動目錄延伸到非Windows系統(tǒng)中,將會使非Windows系統(tǒng)也符合PCI規(guī)范,”他說。
應用活動目錄時的考慮事項
在8月9日的LinuxWorld會議上,Moore將為確定數(shù)據(jù)中心的準備狀態(tài)提供一份要考慮事項的清單。
作為會議材料的預覽,Moore給出了在評估實施集中式活動目錄的可行性時IT經(jīng)理們應該考慮的一些相對重要的問題:
要在何種類型的機器上實施活動目錄?
準備在這些系統(tǒng)上執(zhí)行何種策略?
哪些服務器能夠訪問環(huán)境中的相應系統(tǒng)?
是否真正清楚現(xiàn)在有哪些人能夠訪問系統(tǒng)?(即使用戶ID是從現(xiàn)有Linux服務器中取出并帶入到活動目錄,服務器也不清楚該ID是否相關或者應否授予其訪問權限,他說,這就帶來了安全性和SOX遵守方面的擔擾。)
最后,IT經(jīng)理們需要確定誰有訪問權以及誰應該有訪問權,他們需要建立技術和業(yè)務需求之間的真正交點。(文波編譯)
希望本文介紹的利用用活動目錄省卻Linux認證的麻煩的內(nèi)容能夠?qū)ψx者有所幫助。
【編輯推薦】
