活動目錄對于windows系統(tǒng)來說至關重要，同樣，活動目錄對于linux系統(tǒng)來說也具有同樣重要的作用。具體內容如下所述。

在異構數(shù)據(jù)中心中，無論如何劃分，管理訪問和管理身份都可能很費時。在用戶數(shù)據(jù)散布于元目錄或公司其他位置的情況下，為異構數(shù)據(jù)創(chuàng)建單點登錄技術會讓許多IT部門苦惱。

讓事情更復雜的是，異構數(shù)據(jù)中心中的Linux認證解決方案非常多，找到合適的解決方案可能和解決問題本身一樣困難。在系統(tǒng)管理員權衡各種選擇時，核心的問題是：有沒有其他方案優(yōu)于微軟的活動目錄(AD)?

大多數(shù)元目錄部署將數(shù)據(jù)同步到至少一個輕量級目錄訪問協(xié)議(LDAP)目錄服務器以確保LDAP應用如單點登陸能夠訪問最近的數(shù)據(jù)。系統(tǒng)管理員還可以為其Linux和Unixbox創(chuàng)建專門的LDAP目錄。另外IBM、CA和HP公司也提供了相關應用程序，但價格較高。也有一些老式的方法，如SunMicrosystem的用于密碼管理的網(wǎng)絡信息服務，但專家警告這一方法通常不符合IT管理規(guī)范如薩班斯-奧克斯萊法案(SOX)。

活動目錄是解決方案嗎?

但許多分析師稱活動目錄(微軟對LDAP目錄服務的實現(xiàn)以提供Windows環(huán)境下的集中認證和授權服務)就是問題的答案。專家稱，在活動目錄中維護一個單一的信息存儲庫而不是建立一系列LDAP目錄將更易于管理。

為什么解決方案是活動目錄?“因為它就在那里，”來自康涅狄格州斯坦福德市Gartner公司的研究副總裁AntAllan博士說，“活動目錄在大多數(shù)組織中都幾乎是一個無處不在的平臺。”

即使Linux對關鍵任務數(shù)據(jù)中心的運行越來越重要，但微軟的這一技術在有多點控制和多個用戶身份存儲庫的環(huán)境中仍有意義，Allan說。

來自麻省弗雷明漢市IDC公司的分析師SallyHudson指出：考慮到嚴格的管理標準如薩班斯-奧克斯萊法案，使用活動目錄策略對IT經(jīng)理們最為有利。

“活動目錄無處不在。用戶需要利用其在活動目錄上的現(xiàn)有投資來消除身份認證的割裂狀態(tài)并在混合環(huán)境中提供細粒度的訪問控制機制，”她說道。

使用活動目錄的理由

Centrify公司的首席技術官(CTO)PaulMoore說他經(jīng)常需要向Unix和Linux管理員解釋活動目錄，Moore將于下周出席在舊金山舉辦的LinuxWorldConference&Expo大會的一次關于認證問題的討論。

“合理的解釋是需要的，因為我們正在努力爭取企業(yè)中的Unix群體;我們試圖說服組織中的Linux和Unix管理員將活動目錄作為主安全存儲是很好的選擇，”他說。

另外，已經(jīng)出現(xiàn)了大量的活動目錄工具，這也成為使用活動目錄的理由。

Centrify公司的活動目錄同步管理和認證軟件Centrify

DirectControl用于在Linux(Unix)機器上進行集中密碼和用戶權限管理。其他的第三方應用程序如Centeris

LikewiseIdentity3.0和Quest軟件公司的VintelaAuthentication

Services也提供了類似的功能。另外還有位于拉斯維加斯的VanguardIntegrity

Professionals公司的大型機應用程序可供使用。

Moore稱活動目錄在以往并沒有嚴重的安全漏洞，即使是考慮到本月早些時候發(fā)布的針對Windows2000Server和WindowsServer2003的MS07-038活動目錄更新。以前的缺陷可能使攻擊者能夠創(chuàng)建惡意的LDAP請求以控制受影響的系統(tǒng)，但只有在攻擊者能夠登錄公司內部網(wǎng)絡時這種情況才會發(fā)生，微軟的一份關于MS07-039的報告中解釋道。

即便如此，Moore稱使用率是本活動目錄的首要優(yōu)勢，這一技術仍然自豪地擁有80%-85%的市場。

“我們通常會遇到兩種類型的Linux(Unix)管理員：接受活動目錄的

管理員和認為活動目錄會不可避免地帶來麻煩的管理員，”Moore說。對于后者，Moore和他的團隊強調活動目錄的安全性以及其目前能夠滿足法規(guī)要求這

一事實。“如果看看支付卡行業(yè)數(shù)據(jù)安全標準(PaymentCardIndustryDataSecurityStandard――PCI

DSS)，會發(fā)現(xiàn)活動目錄已經(jīng)符合其中的大部分規(guī)定。因此，如果將活動目錄延伸到非Windows系統(tǒng)中，將會使非Windows系統(tǒng)也符合PCI規(guī)范，”他說。

應用活動目錄時的考慮事項

在8月9日的LinuxWorld會議上，Moore將為確定數(shù)據(jù)中心的準備狀態(tài)提供一份要考慮事項的清單。

作為會議材料的預覽，Moore給出了在評估實施集中式活動目錄的可行性時IT經(jīng)理們應該考慮的一些相對重要的問題：

要在何種類型的機器上實施活動目錄?

準備在這些系統(tǒng)上執(zhí)行何種策略?

哪些服務器能夠訪問環(huán)境中的相應系統(tǒng)?

是否真正清楚現(xiàn)在有哪些人能夠訪問系統(tǒng)?(即使用戶ID是從現(xiàn)有Linux服務器中取出并帶入到活動目錄，服務器也不清楚該ID是否相關或者應否授予其訪問權限，他說，這就帶來了安全性和SOX遵守方面的擔擾。)

最后，IT經(jīng)理們需要確定誰有訪問權以及誰應該有訪問權，他們需要建立技術和業(yè)務需求之間的真正交點。(文波編譯)

希望本文介紹的利用用活動目錄省卻Linux認證的麻煩的內容能夠對讀者有所幫助。

【編輯推薦】

1. Windows 2000之活動目錄使用技巧
2. 讓活動目錄在復制過程中更好地運行
3. 活動目錄在.Net環(huán)境下如何用C#操縱？
4. 用ADSI實現(xiàn)自動化的活動目錄操作方法
5. 如何轉移活動目錄到Windows Server 2008 R2？