使用活动目录验证 Linux 客户端

使用活动目录验证 Linux 客户端

我正在尝试设置一个 Linux 客户端来使用 Active Directory 进行身份验证。我尝试按照本文进行操作,但身份验证失败:

https://wiki.archlinux.org/index.php/Arch_Server_and_Active_Directory

我希望使用 Active Directory 进行身份验证,这样打印时就无需重新进行身份验证,并且可以自动挂载所有共享。设置此项能为我提供这些功能吗?

答案1

pam_krb5如果您使用或设置 Kerberos 身份验证pam_winbind,那么是的,您将获得无密码的服务身份验证。


但请注意,该文章在某些地方已经过时,而在其他地方则完全不正确。

  1. Arch 很久以前就已改用 MIT Kerberos ( krb5)。不再使用 Heimdal。(krb5.conf语法保持不变。)
  2. 不是kdc设置放入 中krb5.conf[realms]最好使用 DNS SRV 记录来查找此信息,Windows 就是这么做的。如果 KDC 发生变化,您不需要编辑数百个krb5.conf
  3. 不要输入 KDC 地址/etc/hosts。让 DNS 来处理。
  4. pam_krb5不需要手动构建;它位于官方存储库中。
  5. 你不需要 pam_krb5如果您使用 Winbind(这是推荐的方式)。
  6. allow_weak_crypto这不是必需的;Heimdal 和 MIT Kerberos 都支持 2008 年之前的 Windows 版本使用的 RC4-HMAC 加密类型。

答案2

看看免费的 Centrify Express 产品 - 希望有一个适合您的 Linux 风格的软件包。我花了大约 2 分钟用它设置了一台 Ubuntu 台式机。

http://www.centrify.com/express/free-active-directory-tools-for-linux-mac.asp?r=menu-nav

Centrify Express 是一套全面的免费 Active Directory 集成解决方案,用于身份验证、单点登录、远程访问、文件共享、监控。跨平台系统的 Active Directory 集成和云安全的首选。它是将 UNIX、Linux 和 Mac 系统与 Windows 集成的最快和最成熟的解决方案,与其他免费产品相比,它提供了更多功能和更多升级选项。

相关内容