将 Active Directory 用户导入 Unix/Linux/FreeBSD 组

将 Active Directory 用户导入 Unix/Linux/FreeBSD 组

我需要让 FreeBSD 8.2 RELEASE p9(运行 FreeNAS)导入或将 Active Directory 用户(或安全组)与 Unix/FreeBSD 组关联起来。这样,我就可以在特定文件/目录树上使用 FreeBSD 组安全性,同时仍允许 AD 用户访问它们。

我尝试过几件事,但都没有成功。

将用户 ID 放入 /etc/group 文件中:即采用“DOMAIN\username”或“DOMAIN\user group”格式

将 Unix 组的 GID 与 Active Directory 组的 RID 进行匹配。据说,在今年早些时候发布安全补丁之前,这种方法一直有效。

使用 SAMBA 工具中的 net groupmap。(这有效,但反过来,freebsd 用户最终会进入 Active Directory 组)。

我基本上需要一个本地 Unix 组来共享与映射为驱动器到 Windows 网络浏览器的 CIFS 共享的访问权限。

请注意,我还尝试使用符号链接(不同的驱动器几何结构)到 FTP 用户/组文件夹。由于某种原因,Windows 用户无法看到该文件夹​​,我已打开宽链接,并关闭 unix 扩展来跟踪符号链接。没有运气。

我打算在 FreeNAS 社区上发布此信息,但这似乎是一个更基本的系统配置/管理问题。我可能也会在 SAMBA 社区上发布。

谢谢!

答案1

您可能更愿意将 FreeBSD 系统配置为使用pam_ldap/nss_ldapnss_ldapd(可在 FreeBSD ports 集合中找到)或 MicrosoftUnix 应用程序子系统 (SUA)NIS 服务器(更多有用信息TechNet SFU/SUA 博客)。

您还可以选择使用 SUA 套件中提供的 NFS 服务器,让 FreeBSD 计算机可以访问相关共享。(这可能是最有可能奏效的方法,因为在这种情况下,UNIX UID/GID -> AD UID/GID -> AD 权限映射链位于 Windows 服务器上。)

请注意,对于所有这些情况,您都需要将 Windows 用户和组扩展为 POSIXAccounts 和 POSIXGroups。

相关内容