在使用 Windows AD 对 Linux 服务器上的用户进行身份验证时,使用 Winbind 和“加入域”是否比仅通过 Kerberos 进行身份验证并在 LDAP 中查找 UID、GID、主目录等更有优势?
答案1
是的,Winbind 会自动在 Active Directory 中设置对象。我曾尝试设置 Kerberos 以手动对 AD 进行身份验证,但效果很糟糕。Windows 命令行上有很多晦涩难懂的命令,并且需要 AD Unix 扩展。我从未让它工作过,而且 Windows 2012 之后的 AD 已弃用 AD Unix 扩展。
最近,realmd 将使 Linux 服务器更轻松地集成到 AD 中。它在本地设置 SSSD 和 Kerberos,并在 AD 中创建所有必要的对象。我曾用它将 Ubuntu、CentOS 和 Fedora 集成到 AD 域中,效果非常好。CentOS 和 Fedora 无缝衔接,在完成所有必要的配置步骤后,Ubuntu 运行良好。
答案2
无论是否使用 Kerberos,您仍需要查询 AD 以获取适当的 unix 属性。Kerberos 将为您提供 SSO(如果您使用与登录 Windows 工作站相同的凭据登录 Linux 服务器)。
并且至少在 Windows 工作站上,如果将其与 Windows 上可用的 SSH 代理进行比较,您会发现该平台上的 SSH 代理不会对私钥执行特别安全的操作(例如,在空闲一段时间后或屏幕锁定时将其删除等)
答案3
Active Directory 默认不允许匿名 LDAP 绑定。将主机加入域会使该主机“受信任”,因此它可以使用自己的凭据访问域资源(例如 LDAP)。
如果您允许在 AD 中匿名绑定,那么这并没有什么意义。