SambaSSSDvsWinbind
SSSD vs Winbind
Winbind
Традиционный вариант использующий Samba winbind, имеет ряд существенных преимуществ по сравнению с базовым устаревшим решением, включая следующее:
- Winbind предполагает, что он подключается к AD, и использует преимущества собственных протоколов Windows и расширений протокола LDAP.
- Он не только понимает концепцию доменов и лесов, но также работает с доверием между доменами и лесами.
- Он может обнаруживать серверы, используя DNS.
- Он может переключиться на другой сервер, если другой контроллер домена AD становится недоступным.
- Он может динамически завершать сопоставление идентификаторов на основе идентификаторов объектов AD (SID) или использовать атрибуты POSIX, хранящиеся в AD (если эти расширения были загружены).
- Он хорошо интегрируется с клиентом Samba FS и CIF.
- Безопасность соединения хорошая и основана на идентификационной информации клиентской системы и ключах Kerberos, выданных этой системе.
Хотя Samba winbind обладает перечисленным выше набором преимуществ и является шагом вперед по сравнению с устаревшим интеграционным решением, он также имеет некоторые ограничения:
- Политики все еще не управляются централизованно и должны распространяться вне группы.
- Samba winbind может подключаться только к AD, тогда как устаревшее решение может работать с любой реализацией сервера LDAP и Kerberos.
SSSD
Современный вариант интеграции основан на компоненте под названием SSSD. SSSD расшифровывается как Systems Security Services Daemon (Демон служб системы безопасности). На самом деле это группа служб, которые являются частью основной ОС Linux и работают совместно для обеспечения аутентификации, поиска идентификаторов и контроля доступа для системы Linux. SSSD действует как соединитель между операционной системой и центральным сервером идентификации. SSSD может взаимодействовать с AD, FreeIPA (также известным как «Identity Management»), Samba DC или любыми другими стандартными реализациями серверов LDAP и/или Kerberos.
Последние версии Linux содержат компонент под названием «realmd». Этот компонент действует как конфигуратор для SSSD. Он позволяет обнаруживать присутствие центрального идентификационного сервера путем запроса DNS. Realmd может настроить SSSD для работы с AD, FreeIPA (IdM) или MIT Kerberos, делая установку и настройку такой же простой, как и решения сторонних производителей.
По сравнению с Samba winbind SSSD может делать практически все, что делает winbind. Единственным серьезным ограничением является поддержка (старого) протокола NTLM. SSSD не реализует этот протокол, поскольку по современным стандартам NTLM более не безопасен для использования. Лучшей практикой безопасности является исключение использования NTLM на предприятии, однако некоторые организации могут столкнуться с проблемой, учитывая исторические причины и/или сложность среды.
Также следует отметить, что до недавнего времени в SSSD отсутствовала интеграция с SambaFS и клиентом CIFS, но последняя версия SSSD покрывает этот пробел. В дополнение ко всем современным функциям Samba Winbind SSSD представляет ряд функций, которые делают Samba winbind менее значимым:
- Возможность загрузки и применения политик управления доступом на основе хоста с использованием объектов групповой политики, управляемых в AD.
- SSSD, как было упомянуто ранее, может взаимодействовать с разными источниками идентификации, а не только с AD.
- SSSD поддерживает очистку DNS (т.е. обнаруживает, были ли удалены или обновлены записи DNS для серверов).
- SSSD предоставляет расширенные интерфейсы идентификации на локальной шине сообщений, называемой D-Bus. Этот интерфейс можно использовать для лучшей интеграции приложений, работающих в операционной системе Linux, с корпоративными источниками идентификации, такими как AD и FreeIPA (IdM).
SSSD активно развивается и имеет четкую дорожную карту для обеспечения большей интеграции с другими современными компонентами, такими как Docker, Cockpit, GSS Proxy и другими.
По сравнению с коммерческими решениями, SSSD основан на прямой интеграции, которая может все еще иметь некоторые ограничения. (См. таблицу)
| Категория | Функция | Winbind | SSSD |
| Аутентификация | Аутентификация с использованием Kerberos | Да | Да |
| Аутентификация с использованием LDAP | Да | Да | |
| Поддержка нескольких AD-доменов | Да | Да | |
| Поддержка AD-лесов | Да | Да | |
| Поддержка гетерогенных сред AD/FreeIPA | Нет | Да | |
| Безопасность | Легко настроить на безопасную конфигурацию | Нет | Да |
| Система использует идентификационные данные, а ее ключ используется для защиты доступа к центральному серверу. |
Да | Да | |
| Поддержка NTLM | Да | Нет | |
| Поиск и сопоставление идентификаторов | Требуются расширения AD POSIX (SFU/IMU) | Нет | Нет |
| Динамическое сопоставление идентификаторов AD SID | Да | Да | |
| Использует преимущества конкретных расширений и протоколов AD. | Да | Да | |
| DNS | Устаревание и очистка AD DNS | Нет | Да |
| Сайты AD DNS | Да | Да | |
| Обмен файлами | Интеграция Samba FS | Да | Да |
| Интеграция клиента CIFS | Да | Да | |
| Политики | Централизованное управление контролем доступа на основе хоста через GPO | Нет | Да |
| Интеграция на хосте с другими службами и приложениями |
Интеграция с основными утилитами, такими как SSH, sudo, automount | Нет | Да |
| Расширенные интерфейсы идентификации по локальной шине сообщений | Нет | Да | |
| Специальные функции для приложений | Нет | Да | |
| Пользовательский опыт | Легкая установка | Нет | Да |
| Цена | Free | Free | |
Источник: redhat.com
Samba  | |||
|---|---|---|---|
| Файловое хранилище | Samba как файловый сервер • Подключение общей папки • Samba как файловый сервер в домене | ||
| Служба каталогов | |||
| Сервер | Samba как служба каталогов (AD) • Изменение IP-адреса AD • Репликация сервера AD • Резервное копирование и восстановление • Управление пользователями • Групповые политики • Групповая политика паролей | ||
| Клиент | Подключение клиента AD • Устранение неполадок участников домена Samba | ||
| Бэкэнды идентификаторов winbind | idmap config tdb • idmap config ad • idmap config rid • idmap config autorid | ||
| Прочее | Samba как сервер печати • Проверка конфигурационного файла • Утилиты командной строки • LMHOSTS • Уровень логов • Каталоги Samba • Настройка DNS | ||
| Разное | Настройка Samba для привязки к определенным интерфейсам • Тестирование динамических обновлений DNS • Samba Перенастройка бэкенда BIND9 DLZ • Конфигурация DNS для Linux и Unix | ||
| Информация | SSSD vs Winbind • Установка Samba | ||
