我们正在将 Linux 系统上的 NIS 迁移到将所有内容绑定到 Active Directory。NIS 环境遵循许多 Linux 发行版使用的通用标准,即用户的主要组是与用户同名的组(并且用户通常是该组的唯一成员)。
我被告知,在 Active Directory 环境中,您可能没有与用户同名的组名(具体来说,没有两个 AD 安全对象可以具有相同的名称)。这似乎使将我们的组定义移入 AD 的过程变得复杂。看起来我们可以仅使用 POSIX 属性(例如,不是实际的 AD 安全对象)在 AD 中维护 NIS 组信息,但这似乎是一个次优的解决方案(因为我们确实希望在 Unix 和 AD 世界中拥有相同的组成员身份视图)。
您是否将大型旧式 NIS 环境迁移到 Active Directory?您如何处理这种情况?
答案1
我也遇到了同样的问题。在阅读了大量文档后,我得出了以下“解决方案”:
为了解决名称冲突问题,我通过在开头添加“g”字符重命名了用户私有组。例如:User=erik,Group=erik。现在在活动目录中,我将组命名为“gerik”。这样,我就可以继续专注于 AD 迁移,而不必考虑用户私有组问题。
慢慢停止使用用户私有组,因为这似乎不是解决问题的办法 - 至少在使用 Active Directory 时不是。这可以通过创建一个新的组(如“unixgrp”)或使用“域用户”来实现,但我不喜欢“域用户”,因为在使用“ls”显示文件时,该名称太长了。
从用户私有组迁移到“unixgrp”等公共组时要小心。不要只是将所有文件的组更改为“unixgrp”。例如,如果用户对其用户私有组拥有的文件具有组写权限,而您将该组更改为“unixgrp”,则“unixgrp”中的所有用户也将对该文件具有写访问权限。因此,某种脚本必须以正确的方式修改权限……祝您玩得开心!
我承认,唯一真正的解决方案是使用活动目录时以某种方式支持用户私有组。但我不知道怎么做...
答案2
同样地有一种产品叫做UID-GID管理工具模块可以与同样开放增强您对 uid/gid 映射到 Active Directory 的控制。
从功能列表中:
Mirror your organizational units with Likewise cells and map Active Directory users and groups to UIDs and GIDs.
我已经使用过 Likewise Open,它运行得很好,但没有必要获取这个模块。