Active Directory 当前使用哪些属性来实现 POSIX 兼容性?

Active Directory 当前使用哪些属性来实现 POSIX 兼容性?

在使用 Windows Active Directory 作为中心目录的异构环境中,某些属性对于与 Linux 系统的兼容性至关重要。

  • uid编号
  • gid编号
  • 盖科斯
  • 登录外壳
  • 主目录

我应该使用这些确切的属性名称吗?为什么我总是看到对微软 Unix 服务 (MSSFU)以及诸如此类的属性MSSFU2x-uidNumber?我可以完全忽略这些吗?

为了加分,请提供一些 MSSFU 属性的历史背景。哪些属性已被弃用,它们被弃用了多久?为什么会有这么多版本的微软Unix服务,为什么他们使用这么多不同的名字?

答案1

“uid”(实际上是帐户名)通常用于对 NFS(Windows/Linux)的双协议访问。uid 的不同寻常之处在于它是一个多值属性。

此外,为了实现文件系统兼容性,需要添加一个与分配给给定用户帐户的 gidNumber 相同的 Active Directory 组。每个组都应将“posixGroup”添加到 objectClass 属性。

每个 Active Directory 用户帐户都应将“posixAccount”和“user”作为值添加到 objectClass 属性。

https://learn.microsoft.com/en-us/azure/azure-netapp-files/create-volumes-dual-protocol#manage-ldap-posix-attributes

关于 MS-SFU,这些是 Kerberos 约束委派(基本上是模拟)的用户。

https://learn.microsoft.com/en-us/openspecs/windows_protocols/MS-SFU/3bff5864-8135-400e-bdd9-33b552051d94

Kerberos 约束委派默认关闭。在某些情况下,它可以派上用场,例如,您需要管理员帐户远程更改 50 台服务器上服务帐户的已保存密码。您可以在管理员帐户上启用 Kerberos 约束委派,基本上允许它模拟服务帐户并以服务帐户的身份存储密码。

对于您所问的问题,这些属性可能可以被忽略,我不相信存在任何与其他目录的同步,而这对于兼容性或类似的东西是必要的。

相关内容