我目前正在工作场所摆弄 AD、Netboot 和 Linux。
我们有多台运行 MacOS 和 Windows 的 PC,它们都是 Active Directory 2008 域的一部分。大多数 PC 都采用双启动,每个操作系统都有不同的主机名和 AD 帐户。
我已经开始尝试使用 iPXE 结合网络块设备(启用写时复制)进行无盘 Linux 安装,考虑到 NBD 服务器上的硬盘速度非常慢,这种方法效果出奇地好。盒子的主机名通过 DNS 提供。
但我现在有点困惑,不知道如何让 AD 用户登录到统一无盘映像的实例。我能够从一台计算机加入域并将其“保存”到映像中。(winbindd 会将其保存在某处吗?它会保存什么?)使用这 现在我有时能从其他计算机登录,有时不能。奇怪的是,它似乎可以在 sddm 和 gdm 中工作,但不能在 ttys 中工作,即使它们共享相同的 PAM-Config。
现在我不太确定是否可以为多个实例共享一个 AD-Computer 帐户来提供用户登录。
“AD 加入”状态是否保存在某个地方?我可以为多个实例共享一个帐户吗?我可以同时使用实例而不触发某些安全机制吗?我可以将多台计算机(具有不同的主机名)加入一个统一映像吗?我可以以某种方式搭载已加入域的 Windows 帐户吗?
据我所知,克隆的图像具有相同的 SID 没有问题,因为唯一的 RID 是在连接时生成的。(将 Linux 克隆虚拟机加入到 Active Directory)。
但是如果我克隆一个图像(或者在我的情况下使用“统一图像”),RID 会不会也一样呢?
进一步:是否有另一种方法可以通过 AD 提供身份验证,而无需 Linux 机器成为域的成员?(例如,仅使用 LDAP 功能?)
答案1
感谢你的回复。
最后,我按照本指南使用了 AD 服务器的 LDAP 部分 (https://wiki.archlinux.org/index.php/LDAP_authentication)。pam_mount 就像 winbind 一样乐意挂载主目录。
麻烦更少,结果相同(至少对于用户而言)。