目前,我们能够让 kerberos 对处于活动目录 (AD) 中并添加到 ldap 创建的网络组的用户进行身份验证。我们还设置了他们的 unix 属性并将其添加到网络组。如果我们可以使用实际的 AD 组,那么 IT 会容易得多。这可能吗?
答案1
AD 作为 LDAP 服务器工作得很好,棘手的部分是默认的 DIT(或目录信息树)与大多数 nssldap 模块对类似网络组服务的期望不同。
我非常确定你想要的可以实现。你需要添加一个与 Posix 帐户架构相对应的 DIT。这个问题应该会引导你找到正确的方向。