我正在尝试通过 Active Directory 集中用户登录信息。目前,我在 Server 2008 R2 上运行 AD。我确实在其上安装了 UNIX 身份管理。我还有几个 Linux 客户端,主要使用 CentOS 5.X 和 Fedora 14。我在 CentOs 机器上设置了 Samba,并将机器加入了 AD 域。AD 中的用户可以使用 AD 凭据登录 Linux 客户端。我的问题是 Linux 用户是否可以登录 Windows 机器。我对设置集成和 Samba 还不熟悉。Samba 中是否有任何设置允许 Linux 机器中的用户登录 Windows?我将不胜感激任何帮助/提示/建议。非常感谢。
答案1
如果将 Linux 用户添加到 Active Directory,这当然是可能的。
Samba 不会为您做太多事情。真正的“魔法”是由 LDAP 和 Kerberos 完成的。在理想的设置中,OpenLDAP 会从 Active Directory 中枚举用户,而 Kerberos 会处理身份验证。对于您描述的用例,Samba 不是必需的(除非您坚持要在 AD 中拥有计算机帐户,但这几乎是无用的)。
CentOS有一些详细的文档关于如何完成基于目录的身份验证。您可能会进行大量的 Google 搜索以使 LDAP/Kerberos 正确运行,但起点是使用适合您 AD 设置的正确值编辑 /etc/openldap/ldap.conf 和 /etc/krb5.conf。如果您想通过 SSL 连接到 AD,您还需要以 PEM 格式导出 AD 服务器证书的 OpenLDAP 副本。
这里的技巧是确保使用的“Linux 用户”实际上是 LDAP(Active Directory)用户,而不仅仅是存储在每台唯一机器中的本地帐户。