与许多人一样,我一直在尝试从 Microsoft Active Directory + CIFS 文件共享转向自定义 LDAP 解决方案 + NFSv4。这里的所有工作站都运行 Windows 7,到目前为止我已经设置了以下内容:
- 吉娜安装在每个工作站上,登录我的自定义 OpenLDAP 服务器一切正常。pGina 的最新测试版甚至允许用户更改密码!
- 在 Windows 7 上激活 NFS 后,我能够成功挂载 NFS 共享,尽管服务器将我视为无人/无团体而不是给我本该属于我的东西!
现在,最后一件事在过去两天里一直是我头疼的问题,因为很难找到最新的、详尽的信息。以下是我收集的信息:
- idmapd.conf仅当您使用krb5- 或类似 - 身份验证方法来挂载 NFS 共享。这意味着您需要设置凯尔伯罗斯,不是一件容易的事。
- Windows 需要身份映射服务来将本地帐户映射到 Unix 帐户。这方面有一些非常好的信息这里,但我在互联网上找不到任何人能做到这一点。我找到了一个有问题的用户,但没有解决方案(而且我担心这可能发生在我身上)。
- 好像还有(?)一个错误在 Ubuntu 12.04 的 nfs-utils 发行版上配置idmapd从 LDAP 服务器检索映射(umich_ldap 转换方法)。这是真的很重要因为它允许集中式账户管理,这是这样做的重点之一。
现在,在我深入研究 Kerberos 和 Windows 身份映射并应用 Ubuntu 补丁并发现更多问题之前,我的问题是:
有没有人走过这条路并成功做到了这一点?我应该换个方向吗?我在哪里可以找到关于这一切的体面、详尽的材料?
谢谢。
答案1
我建议使用免费IPA而且它Kerberos 跨领域信任使用 Active Directory。工作原理如下:
- 安装 FreeIPA 服务器作为 Linux 机器域控制器
- 在 FreeIPA 和 AD 之间创建跨领域信任(信任添加命令) -相关测试说明
- 配置受 Kerberos 保护的 NFS 共享在 FreeIPA 服务器或另一台作为 FreeIPA 客户端的机器上
- 在 Windows 或 Linux 计算机上挂载该共享
- 利润!
我最近在玩这个,并且我能够将受 Kerberos 保护的 NFS 共享挂载到 Windows Server 2012(在我安装 Unix 扩展之后),使用 Kerberos 和单点登录。