我们公司主要运行 Linux 服务器,但主要运行 Windows 客户端。
我正在寻找一种解决方案,使我们所有的 Web 应用程序都有一个登录门户(并且一旦您登录,就不必登录下一个应用程序),并且服务器登录和电子邮件登录使用相同的用户名和密码。
另一个问题是权限。一个idea设置允许我为不同资源授予不同的访问权限。例如,拥有源代码管理权限的人无法以root身份登录Linux服务器。
目前,所有 Linux 服务器上的 root 密码都是相同的,并且我们不使用 SSH 的公钥(我知道我应该这样做,这是我正在研究的东西)
我知道 Exchange 需要使用 ActiveDirectory,因此我想知道是否有一种解决方案可以让我在 ActiveDirectory 之上添加所有这些功能。
我做了一些研究这可能会处理我们网络应用程序的网络门户。不过,我对其余的事情仍然一无所知。
我知道这要求太多了,我只是想了解一下那里的情况。
答案1
我认为您说的没错。我们的设置非常相似,尽管其中也包含一些 Windows 服务器。我们的用户群 70% 是 Linux(主要是 Debian),30% 是 MS Windows。
我们将 Active Directory 用于(几乎)所有事情。ADS 内置了 LDAP 接口,并且有可用于 Linux 计算机上用户身份验证的客户端库(您将需要 Windows Services for Unix)。
您可以将“应用程序”实体添加到 Active Directory,然后在其中定义特定的安全组。然后配置各种客户端以使用这些组来获得对各种应用程序和门户的访问的非常细粒度的控制。(使用 Windows 域控制器上的“AD 用户和组”插件来执行此操作)。
您可以将上述 Linux 库(最重要的是 libnss-ldap 和 pam_ldap)与对 PAM 配置的一些更改结合使用,以在 Linux 服务器上启用 Windows 用户帐户(这也可以通过 Kerberos 链接,这将允许 Linux 用户同时更新他们的 AD 密码和本地密码)。
如果您需要更多信息,请告诉我,我可以转发一大堆有关如何实现此操作的示例文件。这对我们来说是一大福音。
答案2
中科院是一个很好的解决方案