在 Linux 中与 Active Directory 集成(Authn 和 Authz)

在 Linux 中与 Active Directory 集成(Authn 和 Authz)

我正在尝试寻找一种统一的身份验证方案,以便 Linux 服务器针对 Active Directory 进行身份验证。主要是 Ubuntu 和 CentOS 服务器。

我需要的:

  • 免费、稳定的解决方案
  • 统一的 UID/GID,这样无论文件夹从哪个服务器挂载,其权限都是相同的
  • 支持递归组和组映射(例如 sudo 权限和登录权限,这样只有 X 组的成员才允许登录)
  • 主目录交叉挂载,这样主目录就可以跨服务器交叉挂载,以获得统一的体验
  • 至少对 Ubuntu 和 CentOS 提供统一支持(理想情况下是任何版本)
  • 保留本地帐户(至少为 root 帐户)
  • 理想情况下,解决方案不需要计算机帐户,而只需使用 LDAP 绑定进行身份验证,然后进行组查找以进行授权(不知道这会如何影响其他要求)

我发现的替代方案是:

  • PowerBroker® 身份服务开放版 (以前称为 Likewise Open)
  • 集中快递
  • 温宾

我以前使用 Likewise open 时有过不好的体验(身份验证会随机阻止 ssh 登录),但我还没有测试过重新命名的版本。我还没有尝试过 Centrify,但它看起来很有前途,尽管我还没有找到关于如何实现我的目标的良好资源。我猜 Winbind 是最可定制的,至少是为了实现我的最后一点。

我愿意接受任何能解决我的问题的解决方案,但最重要的是,我正在寻找一个安装指南,以便在 Ubuntu 和 CentOS 上完成上述所有操作

是否有任何免费工具可以帮助我相对轻松地解决我的要求,如果有,那么有效的配置是什么?

答案1

Winbind 可能是您最好的问题(它是我们基础设施中运行的)。

各个服务器的 UID/GID 不一定相同,但您应该能够通过 Samba 管理对所需文件夹/资源的访问,并让其使用域帐户。就登录和 sudo 权限而言,一旦设置了 winbind,您应该能够使用引用 Windows 域帐户的常用 access.conf 和 sudoers 文件来管理这些权限。我不太确定主目录 crossmount(还没有尝试实现它),但它在 CentOS 和 Ubuntu 上都受支持。本地帐户将能够保留,并且不需要计算机帐户。

我在下面提供了一些资源链接,希望它们能够帮助您实施。

答案2

你是否研究过免费IPA是否满足您的需求?另请查看此内容关联

相关内容