SambaSSSDvsWinbind

Материал из Русский WINE
Перейти к: навигация, поиск

SSSD vs Winbind

Winbind

Традиционный вариант использующий Samba winbind, имеет ряд существенных преимуществ по сравнению с базовым устаревшим решением, включая следующее:

  • Winbind предполагает, что он подключается к AD, и использует преимущества собственных протоколов Windows и расширений протокола LDAP.
  • Он не только понимает концепцию доменов и лесов, но также работает с доверием между доменами и лесами.
  • Он может обнаруживать серверы, используя DNS.
  • Он может переключиться на другой сервер, если другой контроллер домена AD становится недоступным.
  • Он может динамически завершать сопоставление идентификаторов на основе идентификаторов объектов AD (SID) или использовать атрибуты POSIX, хранящиеся в AD (если эти расширения были загружены).
  • Он хорошо интегрируется с клиентом Samba FS и CIF.
  • Безопасность соединения хорошая и основана на идентификационной информации клиентской системы и ключах Kerberos, выданных этой системе.

Хотя Samba winbind обладает перечисленным выше набором преимуществ и является шагом вперед по сравнению с устаревшим интеграционным решением, он также имеет некоторые ограничения:

  • Политики все еще не управляются централизованно и должны распространяться вне группы.
  • Samba winbind может подключаться только к AD, тогда как устаревшее решение может работать с любой реализацией сервера LDAP и Kerberos.

SSSD

Современный вариант интеграции основан на компоненте под названием SSSD. SSSD расшифровывается как Systems Security Services Daemon (Демон служб системы безопасности). На самом деле это группа служб, которые являются частью основной ОС Linux и работают совместно для обеспечения аутентификации, поиска идентификаторов и контроля доступа для системы Linux. SSSD действует как соединитель между операционной системой и центральным сервером идентификации. SSSD может взаимодействовать с AD, FreeIPA (также известным как «Identity Management»), Samba DC или любыми другими стандартными реализациями серверов LDAP и/или Kerberos.

Последние версии Linux содержат компонент под названием «realmd». Этот компонент действует как конфигуратор для SSSD. Он позволяет обнаруживать присутствие центрального идентификационного сервера путем запроса DNS. Realmd может настроить SSSD для работы с AD, FreeIPA (IdM) или MIT Kerberos, делая установку и настройку такой же простой, как и решения сторонних производителей.

По сравнению с Samba winbind SSSD может делать практически все, что делает winbind. Единственным серьезным ограничением является поддержка (старого) протокола NTLM. SSSD не реализует этот протокол, поскольку по современным стандартам NTLM более не безопасен для использования. Лучшей практикой безопасности является исключение использования NTLM на предприятии, однако некоторые организации могут столкнуться с проблемой, учитывая исторические причины и/или сложность среды.

Также следует отметить, что до недавнего времени в SSSD отсутствовала интеграция с SambaFS и клиентом CIFS, но последняя версия SSSD покрывает этот пробел. В дополнение ко всем современным функциям Samba Winbind SSSD представляет ряд функций, которые делают Samba winbind менее значимым:

  • Возможность загрузки и применения политик управления доступом на основе хоста с использованием объектов групповой политики, управляемых в AD.
  • SSSD, как было упомянуто ранее, может взаимодействовать с разными источниками идентификации, а не только с AD.
  • SSSD поддерживает очистку DNS (т.е. обнаруживает, были ли удалены или обновлены записи DNS для серверов).
  • SSSD предоставляет расширенные интерфейсы идентификации на локальной шине сообщений, называемой D-Bus. Этот интерфейс можно использовать для лучшей интеграции приложений, работающих в операционной системе Linux, с корпоративными источниками идентификации, такими как AD и FreeIPA (IdM).

SSSD активно развивается и имеет четкую дорожную карту для обеспечения большей интеграции с другими современными компонентами, такими как Docker, Cockpit, GSS Proxy и другими.

По сравнению с коммерческими решениями, SSSD основан на прямой интеграции, которая может все еще иметь некоторые ограничения. (См. таблицу)

Категория Функция Winbind SSSD
Аутентификация Аутентификация с использованием Kerberos Да Да
Аутентификация с использованием LDAP Да Да
Поддержка нескольких AD-доменов Да Да
Поддержка AD-лесов Да Да
Поддержка гетерогенных сред AD/FreeIPA Нет Да
Безопасность Легко настроить на безопасную конфигурацию Нет Да
Система использует идентификационные данные, а ее ключ
используется для защиты доступа к центральному серверу.
Да Да
Поддержка NTLM Да Нет
Поиск и сопоставление идентификаторов Требуются расширения AD POSIX (SFU/IMU) Нет Нет
Динамическое сопоставление идентификаторов AD SID Да Да
Использует преимущества конкретных расширений и протоколов AD. Да Да
DNS Устаревание и очистка AD DNS Нет Да
Сайты AD DNS Да Да
Обмен файлами Интеграция Samba FS Да Да
Интеграция клиента CIFS Да Да
Политики Централизованное управление контролем доступа на основе хоста через GPO Нет Да
Интеграция на хосте
с другими службами и приложениями
Интеграция с основными утилитами, такими как SSH, sudo, automount Нет Да
Расширенные интерфейсы идентификации по локальной шине сообщений Нет Да
Специальные функции для приложений Нет Да
Пользовательский опыт Легкая установка Нет Да
Цена Free Free

Источник: redhat.com

Samba
Search.png
Файловое хранилище Samba как файловый серверПодключение общей папкиSamba как файловый сервер в домене
Служба каталогов
Сервер Samba как служба каталогов (AD)Изменение IP-адреса ADРепликация сервера ADРезервное копирование и восстановлениеУправление пользователямиГрупповые политикиГрупповая политика паролей
Клиент Подключение клиента AD Через WinbindЧерез SSSD
Бэкэнды идентификаторов winbind idmap config tdbidmap config adidmap config rididmap config autorid
Прочее Samba как сервер печатиПроверка конфигурационного файлаУтилиты командной строки
Информация SSSD vs WinbindУстановка Samba