我正在尝试设置一个 Linux 客户端来使用 Active Directory 进行身份验证。我尝试按照本文进行操作,但身份验证失败:
https://wiki.archlinux.org/index.php/Arch_Server_and_Active_Directory
我希望使用 Active Directory 进行身份验证,这样打印时就无需重新进行身份验证,并且可以自动挂载所有共享。设置此项能为我提供这些功能吗?
答案1
pam_krb5
如果您使用或设置 Kerberos 身份验证pam_winbind
,那么是的,您将获得无密码的服务身份验证。
但请注意,该文章在某些地方已经过时,而在其他地方则完全不正确。
- Arch 很久以前就已改用 MIT Kerberos (
krb5
)。不再使用 Heimdal。(krb5.conf
语法保持不变。) - 做不是将
kdc
设置放入 中krb5.conf
。[realms]
最好使用 DNS SRV 记录来查找此信息,Windows 就是这么做的。如果 KDC 发生变化,您不需要编辑数百个krb5.conf
。 - 不要输入 KDC 地址
/etc/hosts
。让 DNS 来处理。 pam_krb5
不需要手动构建;它位于官方存储库中。- 你不需要
pam_krb5
如果您使用 Winbind(这是推荐的方式)。 allow_weak_crypto
这不是必需的;Heimdal 和 MIT Kerberos 都支持 2008 年之前的 Windows 版本使用的 RC4-HMAC 加密类型。
答案2
看看免费的 Centrify Express 产品 - 希望有一个适合您的 Linux 风格的软件包。我花了大约 2 分钟用它设置了一台 Ubuntu 台式机。
http://www.centrify.com/express/free-active-directory-tools-for-linux-mac.asp?r=menu-nav
Centrify Express 是一套全面的免费 Active Directory 集成解决方案,用于身份验证、单点登录、远程访问、文件共享、监控。跨平台系统的 Active Directory 集成和云安全的首选。它是将 UNIX、Linux 和 Mac 系统与 Windows 集成的最快和最成熟的解决方案,与其他免费产品相比,它提供了更多功能和更多升级选项。