Linux i större nät?

Hej,

En samling frågor. Jag jobbar med IT som konsult och ser en massa olika bolag och undrar lite över Linux. Man ser väldigt sällan linux i infrastuktur, man ser linux som databas och applikations server men väldigt sällan inom infrastruktur. Windows och AD är ganska ensamrådande där.

Jag har kört min en del linux genom åren och kommit fram till att det antingen saknas kunskap eller system som på en enkel nog nivå ger samma effekter som ett Windows/AD nät. Är det någon som har erfarenhet av större linux nät här?

Hur bygger ni SSO både för vanliga applikationer, filåtkomst och för web baserade och då även mot databaslagret? Hur hanteras DNS/DHCP? Vad för katalogtjänst använder ni, hur replikeras den, hur hanteras åtkomst till den? Hur hanterar ni PKI? Hur distribueras användar och datorbaserade certifikat? Hur hanteras IPSEC för nät med krav på att all trafik är autenticerad och auktoriserad. Hur hanterar ni kryptering av diskar i maskinparken? Hur låser ni ner att exikvering av applikationer enbart tillåts om koden är signerad från leverantör? Hur hanteras uppdateringar, applikations distribution? Hur hanterar ni övervakning och automation i dessa miljöer?

Jag har ingen större erfarenhet men jag googlade lite efter:

Det här kanske kan vara något:
http://unix.stackexchange.com/questi...ctory-on-linux

Ja det där är några små försök till att få något lite grann liknande AD. Jag känner till dom allihop som diskuteras i länken du gav. FreeIPA är närmast men inte på långa vägar där. Vi pratar om en sämre variant än AD och då hur AD såg ut i Windows 2000 när det släpptes. Har jag någonsin sett en fungerande FreeIPA hos kund ihop med hanterande laptops och kerberos enablade applicationer/databaser? Nope! Och nej det handlar inte om att jag hamnat på fel företag där dom inte råkar ha tillräckligt med linux system. Jag har jobbat mot allsköns möjliga kunder med hundratals till många tusentals unix/linux system. Vad gör sådana bolag? Dom integrerar linux/unix med AD. Jag har bara sett en enda annan linux baserad lösning som är lika flexibel som AD dock är det då inget FOSS system utan i allra högsta grad ett propritärt system.

Lite svår fråga egentligen, då linux i sig inte är samma sak som windows, även om det kan användas till samma syfte.

Alla dessa frågor om lösningar i din sista paragraf kan man enkelt googla upp, och eftersom linux är så öppet finns det nog flera lösningar på alla delar. Finns säkert företag som säljer paketlösningar(RedHat kanske?), du borde kanske kolla upp sådant.

Vet inte om det är ett konkret svar på din fråga, då jag inte är en server-kille är mina kunskaper rätt limiterad.

LDAP, Samba, Puppet, Chef, PAM och BIND9 är en början.

LDAP i all ära men det är ett protokoll och inte en produkt. Det finns flera LDAP servers men dom har alla sina fel och brister. Du får heller inte SSO med LDAP i sig. Puppet och Chef funkar nice för servrar. Hur är det dock med deployment till klienter som inte alltid är på samma nät utan är hemma arbetare osv? Och är puppet och chef integrerade med din katalogtjänst? PAM i all ära men vad för moduler syftar du på? Samba för filhantering? Även för unix maskiner? Vad för autenticering kör du mot samba? Hur funkar detta ihop med alla andra teknikerna för att få en enhetlighet? Bind9, hur gör du säkra dynamiska uppdateringar (mao autenticerade) för de maskiner som kör dhcp? Hur knyts alla dessa tekniker ihop på ett bra sätt?

Jo visst det är enkelt att googla på lösningar. Dock är problemet att när man i praktiken implementerar dessa saker så blir det oerhört komplext och man stöter på en massa små problem som man inte ser när man bara googlar på löningen. En hel del administration och integrations arbete krävs. Och jo visst man kan lösa allt. Men vissa saker kräver massor med tid för att bygga upp på motsvarande sätt, och därför syns aldrig sådana lösningar ute på bolagen.

Jag vill inte gå in på detaljer men på jobbet körde vi tidigare en linux/kerbeosbaserad sso-lösning som fungerade bra, men man har bytt till windows/ad men ännu inte fått sso att fungera felfritt med alla applikationer. Der är svårare att få windows att fungera korrekt i en större miljö.

Hmm, jag har jobbat med många 10000+ användar organisationer och AD fungerar ofta out of the box. Behöver man tweaks så är dom ganska enkelt implementerade. SSO är den sak som verkligen är per default i AD. I call a lie.

Pröva att gå igenom till exempel RHCSA så får du lära dig hur det sköts med Linuxburkar. Red Hat använder FreeIPA. Ubuntu har Landscape som kan göra mycket av vad du frågar efter.

Jobbar själv med Linux men att implementera LDAP med SSO är nog det jobbigaste och mest frustrerande jag har gjort.
Förstår varför folk betalar stora summor pengar till MS för att göra det relativt enkelt ( och förmodligen sparar en del pengar och huvudvärk på det )