我的环境中有一个 LDAP 服务器 Novell eDirectory,用户数据通过该服务器获取。我的环境中有一组 Windows 和 Linux 服务器。我需要将此 LDAP 作为这两个服务器的身份验证源。
对于 Linux,我需要通过将 Linux 设置为 LDAP 客户端和 Linux 用户的扩展电子目录模式来实现这一点,这样用户就可以登录到机器,甚至可以为用户创建主目录。但问题出在 Windows 机器上。
对于 Windows 机器,我使用了 Novell gina,它使用 LDAP 对用户进行身份验证,但它还需要本地或域用户凭据才能登录本地系统。然后,对于每个用户,我必须在每个系统上创建一个本地用户,这是不合常理的。
然后我使用了 pgina(另一个开源 Gina),通过它我可以使用 LDAP 对用户进行身份验证,并为用户创建配置文件。很好,但它也会使用 LDAP 用户名创建本地用户。如果任何管理员在本地计算机上更改此用户的密码,则 LDAP 和本地用户的密码将不同步。
我如何获取活动目录的登录行为,它将根据活动目录进行身份验证(将 AD 视为 LDAP)并在本地系统中为您创建配置文件,但从不创建本地用户。任何人都可以对此进行一些说明以解决问题?
感谢致敬,
阳光灿烂。
答案1
为了以最简单的方式完成您要查找的操作,您确实需要一个 Windows 域(正如 @Joel Coel 在其评论中所说的那样)。您不必使用 Windows Server 来托管域 - Samba 多年来一直很好地充当该角色,并且Samba 可以将后端身份验证转换为 LDAP。
使用 Windows 域来实现这一点是任何替代方案的首选,因为您利用的是 Microsoft 编写和测试的大量客户端代码,而不是使用重新发明轮子的代码。您可以使用域迁移到较新版本的 Windows,而不是被绑定到在较新版本的 Windows 中不起作用的代码(如 pGina)。