我正在设置一台 64 位 Ubuntu 11.04 服务器,我想将其配置为使用 LDAP 进行身份验证。LDAP 服务器恰好是 ActiveDirectory 服务器,但我并不想将机器绑定到域。
我在 Google 上搜索并找到了几套说明,但没有一套能产生一个可用的系统。其中许多还列出了要安装的 LDAP 和 PAM 相关软件包的不同列表,这让我怀疑这些说明是不成熟的。
有人能给我提供一套针对当前 Ubuntu 版本的可靠说明吗?
答案1
您要找的是 LDAP 身份验证。它需要配置 PAM 和 NSS 以使用 LDAP 作为用户名和密码的来源。几乎可以使用任何 LDAP 服务器。
您会遇到的障碍是字段名称。Linux 配置为使用 UNIX 系统常用的字段,而不是 Windows AD,因此您必须使用映射。
看看Ubuntu 11.10 服务器指南第 6 章第 1.10 部分和ActiveDirectory 操作方法Ubuntu 帮助站点的页面。您需要运行ldap搜索针对您的 AD 服务器获取要使用的字段名称,然后更新具有字段映射的文件。在 10.04 中,该文件/etc/ldap.conf。
答案2
我以前发现这个页面很有帮助:Scott Lowe:Linux-AD 集成
我建议遵循 Scott 的建议,使用 Kerberos 身份验证 (pam_krb5)。这比 LDAP 绑定身份验证 (pam_ldap) 好一点,因为 Kerberos 为您提供单点登录。(例如,如果您登录到同一域中的 Windows 桌面并使用最新的 PuTTY,则可以通过 SSH 进入启用了 Kerberos 的 Unix/Linux 服务器,而无需再次输入密码。)
要正确使用 Kerberos,您确实需要执行某种域加入,以便客户端知道它可以信任中央目录。如果您确实不想加入域,并且不介意降低安全性,请研究verify_ap_req_nofail
中的选项krb5.conf
。