我面前有一个挑战,那就是集中身份验证。就这样。
这是因为我和我的大嘴巴说我喜欢 LDAP,任何东西都可以通过它进行身份验证。我这里几乎有所有类型的台式机、Mac、Windows XP 到 7,以及许多基于 Ubuntu 和 Fedora 的发行版安装。
完成所有配置工作对我来说没有问题。事实上,这应该很有趣,我只是想要一些关于我应该考虑哪些实现的建议。
谢谢
答案1
本质上,Windows 机器只能针对它所在的 AD 域(或它所在域所信任的域)进行身份验证。您可以找到替代的 GINA,我相信有一个适用于普通的 LDAP。
但是,一旦您拥有了 AD 域,您还将拥有 Kerberos 和 LDAP。您可以根据 AD 对 OS X 进行身份验证,也可以使用 PAM 根据 AD 的 LDAP 部分对 Linux 计算机进行身份验证。
答案2
我会将所有 Windows 机器放入一个域中,这使得集中式身份验证对它们来说非常简单。
MAC 可以通过 AD 进行身份验证。
对于 Linux 机器,我会使用 SSSD,它通常与 Kerberos 配合使用,如果正确实施,它还允许更改域帐户和本地帐户的密码,并为笔记本电脑实施密码缓存。Ubuntu 和 Fedora 应该有现成的 sssd 软件包(我们在 Debian Squeeze 中使用它,效果很好)。
对于您的其他各种应用程序,尤其是 Web 应用程序,LDAP 身份验证也相对容易实现,因为大多数脚本语言都有 LDAP 模块。
在一些应用程序中,您可能会遇到麻烦。例如:Microsoft Dynamics GP V10 及更早版本不支持 LDAP/AD 身份验证,但承诺在下一版本中提供该功能。