假设有一个用于身份验证的现有 LDAP 服务器,Windows 桌面是否可以根据 LDAP 或 Kerberos 对用户进行身份验证?
答案1
我曾经成功地测试过吉娜,但是设置起来不太友好。
您还可以使用 SAMBA 服务器作为 Active Directory 提供程序,并带有 LDAP 后端,但我尚未对此进行测试。以下是两个基本步骤:
SAMBA 作为 PDC
基本配置如下:
[全球的] passdb 后端 = tdbsam 操作系统级别 = 33 首选主控 = 自动 域主 = 是 本地主机 = 是 安全 = 用户 域登录 = 是 登录路径 = \\%N\profiles\%U 登录驱动器 = H: 登录主页 = \\homeserver\%U\winprofile 登录脚本 = login.cmd [网络登录] 路径 = /var/lib/samba/netlogon 只读 = 是 [个人资料] 路径 = /var/lib/samba/profiles 只读 = 否 创建掩码 = 0600 目录掩码 = 0700
更多信息SAMBA 文档。
LDAP
正确配置 LDAP 服务器并非易事(在我看来 SAMBA 服务器也一样),但在配置完成后(OpenLDAP,软骨发育不全等),这里有一些很好的信息如何将其与 SAMBA 集成。 和更适用于 RedHat。
我还听说 SAMBA 4 将完全替代 Active Directory,但谁知道什么时候会发布。
无论如何,我不知道这是否比我尝试时(大约 2 年前)变得更容易,但我希望如此,因为我在尝试了几周后就放弃了......也许是时候再试一次了。
当时我个人的偏好是软骨发育不全因为它有一个很棒的管理控制台,并且更容易设置。
编辑: 我刚想起来易盒。我没有测试过它,因为我不喜欢一体化解决方案,但是如果你喜欢的话,请查看该网站(它提供的功能远不止域控制器)。
答案2
如果没有自定义登录提供程序(msgina 替代品)...
最好的办法是设置 Windows 域控制器以供 Windows 客户端登录(这将使您能够利用组策略和其他有用的东西),并将其与现有的 LDAP 服务同步(查看 Unix 服务)。或者使用 samba 并让其使用您的 LDAP 目录进行身份验证。