如何配置 Ubuntu 服务器 samba 活动目录以进行身份​​验证子域而无需父防火墙的控制?

如何配置 Ubuntu 服务器 samba 活动目录以进行身份​​验证子域而无需父防火墙的控制?

我们有一个组织 Windows 域 xxx.org,它提供 DHCP、网关、网络、Winbind、防火墙等。在远程站点,我们有另一个由我们管理和控制的域 yyy.org。目前,作为父域的一部分,远程站点的所有用户都登录并进行相应的身份验证。

严格用于利用电子邮件结构进行用户创建和身份验证,即[电子邮件保护]我们设置了一个带有 Samba 4.1 Active Directory 的 ubuntu 14.04 服务器。Samba AD 允许我们使用电子邮件结构创建用户。然后,我们希望能够 SSO 到需要电子邮件结构登录的服务。

问题在于让 Windows 客户端加入 yyy.org 域。我们将 DNS IP 设置为指向 samba AD,并将计算机域更改为 yyy.org。但客户端仍然绑定到父域。

之前,在实验过程中,我们设置了 Ubuntu 来提供 DHCP,并且客户端成功绑定到 yyy.org。也许我们必须再次这样做,我不确定。正如我们在第一篇文章中所说,我们的知识有限。当然,我们希望这与父域无缝衔接。

答案1

是的,使用 Samba 4 应该可以为 Windows 和 Mac 客户端获取 SSO,只要服务器位于同一网络中,您就不必更改防火墙。如果您必须将服务器放在不同的网络中,则很有可能您必须打开其他端口。

Chromebook 集成起来并不容易。这里有两个步骤。首先,您必须使用 Google Apps Sync 工具将您的服务器连接到 Google Appshttps://support.google.com/a/answer/6123891,这会使用户数据保持同步,然后使用 SAML 将 Google 应用附加到服务器进行密码验证。之后,任何 Google 应用服务都将使用您配置到系统中的数据。

至于域名,请使用 yyy.org 的未使用子域名,例如 internal.yyy.org 或类似域名。这样,您的内部 DNS 就不会阻止任何外部网站,您可以确保没有人注册或重新使用您的域名,就像 .local 那样。

如果您的技术技能有限,我建议您查看带有管理界面并经过测试的免费企业发行版,例如 Univention 的 UCS Core Edition。它通常会使设置和管理更加简单。

相关内容