根据公司战略,我正在将人类用户身份验证从本地 LDAP 实现转移到集中式 Active Directory 域。问题是我们在 LDAP 中的 sudoers 设置受到严格限制。如果不做大量工作,我们的 Windows 管理员就无法镜像此设置,如果投入时间,甚至可能无法完全镜像此设置。提出的一个想法是这样的:
对 Active Directory 进行身份验证,但在我们现有的 LDAP 基础设施中维护 sudoers 管理。
那么问题是是否可以使用 AD 的替代方法/服务器进行身份验证,以便我可以为 sudoers 提供 LDAP,并在 /etc/nsswitch.conf 中为 passwd 提供替代方案?
由于规模的原因,为每个来宾维护本地 /etc/sudoers 文件在管理上会受到限制,并且在架构和可扩展性方面会倒退。
答案1
我可以推荐使用 Univention Corporate Server (UCS) 的解决方案。它是一个基于 Debian 的 Linux 企业发行版,使用 Samba 4 集成了 Actice Directory 兼容域。因此,这可能成为您所说的集中式 Active Directory。
至于LDAP问题,UCS还包括OpenLDAP。这意味着,您可以使用 UCS 的 OpenLDAP 集成现有的 Linux/Unix 系统,并使用 Samba 4 Active Directory 集成 Windows 客户端/服务器。
关于 sudoers,有一个很酷的 sudo 解决方案,可以通过基于 Web 的 Univention 管理控制台配置 sudo: http://wiki.univention.de/index.php?title=Cool_Solution__-_Setup_sudo_with_ldap_on_multiserver_environments
或者作为另一种选择,如果您希望将现有的 Microsoft AD 保留为主目录,您可以通过 UCS 集成工具 Active Directory Connection 在该目录与 UCS 的 OpenLDAP 目录之间实现用户、组和可选的密码哈希的自动同步。该工具可通过 Univention 应用中心获得,默认情况下,该中心也是 UCS 的一部分。
有关 UCS 的更多信息可以在 am wiki 和以下位置找到: https://www.univention.com/products/ucs/