我已经研究了 unix 3.5 的服务两天了,但没有任何进展。
让我解释一下我们的情况。我们有几百台 Linux 服务器,几百台 Windows 桌面,几十台 Server 2003/8 服务器和几台 AS400。我们有 900 名员工,其中大多数是某种开发人员。每个部门都有自己购买的服务器和 PC 组,我们负责 MIS 支持。管理所有用户,来来往往,试图找出用户在哪些服务器上的名字,这变得越来越困难。有时,找出他们有权访问哪些服务器也很困难。但我们希望有一种方式,让所有 Windows 和 Linux 用户都能通过我们的广告进行身份验证。这样,当我们添加用户并将他放入正确的组时,他现在就可以登录属于该组的计算机。当他们更改密码时,所有系统的密码都会更改,当我们拿走他们的红色订书机并折断时,我们可以立即拒绝他们访问。
在您发帖之前,是的,我们计划清理我们的 AD 并将用户名设置为尽可能接近某种标准。我们现在正处于测试阶段,刚刚招聘了新员工,因此我们可以从灭火阶段进入最佳实践阶段。
SFU 使用 NIS 是实现此目的的最佳方法吗?您将如何实现/已经实现了类似的东西?
答案1
如果您只是在寻找身份验证,我会在 Linux 和 AS400 机器上设置 ldap auth。使用 SFU 的 NIS 确实有效,尽管一开始就很难运行。
Four Hundred Guru 有一篇关于 AD 集成的文章,虽然不像前一个那样循序渐进。老实说,我对 AS400 不太熟悉,所以也许其他人会提供更多信息。
答案2
除了 LDAP,您不需要 SFU 或其他任何东西。秘诀是您必须添加一个没有锁定/PW 过期的专用 AD 用户帐户,并且该用户除了针对 AD 运行 LDAP 查询外什么也不做。然后在所有 Linux 机器上配置 LDAP。在 ldap.conf 中,您在指令 binddn 和 bindpw 中输入此用户和密码。它对我来说非常有效。
仅供参考 - 设置网络时间!我的一台 Linux 服务器上的 NTP 配置很糟糕。Linux->AD + Samba 文件共享几个月来一直运行良好,但后来它的时钟与 AD 域控制器的时钟偏差超过五分钟,然后就坏了。