我一直在网上寻找一种方法,使用 Windows 2012R2 服务器上的域用户帐户对 Linux 上的用户进行身份验证。我过去这样做的方法是使用服务器上的“Unix 身份管理”角色来设置 Posix 属性。然而,微软“已弃用”2012R2 Server 上有此功能。
有谁知道另一种方式来验证(集中式)Linux 帐户,而无需在 Windows 服务器上的 AD 中使用 Posix 属性?我正在尝试遵循赫斯林 pdf和RedHat 指南用于将 AD 与 Linux 集成,但两篇文章都是去年发表的,显然都在 AD 上使用 IMU 角色。
我试过集中快递本周,但除非我遗漏了什么,否则我无法使用它来管理 AD 中 Linux 帐户的任何 Posix 属性。
答案1
我相信 FreeIPA 从一开始就是为了连接 UNIX/Linux 与 AD DC(Microsoft)并对用户进行身份验证而构建的。
“与 Microsoft Active Directory 等其他身份管理系统建立相互信任。”
祝你好运! :)
答案2
我最终选择了通过身份验证通过 OpenLDAP 和 SASL。不过 FreeIPA 看起来不错。
答案3
Microsoft 的 IMU 不是管理 Unix 属性所必需的,您只是没有管理单元和单独的选项卡来管理 Unix 属性。AD 架构完全支持 rfc2307/posix 属性。相反,您可以使用 ADSI Edit、AD 用户和组(查看 --> 高级,然后使用对象上的属性编辑器选项卡)、LDAP、PowerShell 等来管理它们。帐户上有 uidNumber、gidNumber、loginShell 和 unixHomeDirectory 的 AD 用户是Unix 用户和 Linux 客户端可以使用 AD 作为名称服务和进行身份验证。
每个客户端使用 AD 的配置方式可能有所不同。较新的 SSSD Linux 客户端可以是使用 Kerberos 的完整 AD 域客户端。或者,如果在 AD DC 上启用了 LDAP,Linux 客户端可以是传统的 LDAP 客户端。