使用 ActiveDirectory 进行身份管理

使用 ActiveDirectory 进行身份管理

使用 ActiveDirectory 管理 Unix/Linux 用户帐户的最佳或最可靠方法是什么?或者说,这是否可行?

答案1

我高度高度高度(强烈)推荐使用同样打开去做这个。每次我谈论他们时,我听起来就像是一个受雇的托儿,但我不是。真的就是那么好。

本质上,您安装软件(无痛,有 RPM 和 DEB 安装程序),运行“domainjoin-cli domain.com adminuser”,输入“adminuser”的密码,然后您的计算机就成为 AD 域的一部分。

我所做的一件事是在配置中更改,我打开假定默认域设置,因为我不希望我的用户每次连接到计算机时都必须键入其域。

好处是巨大的。当您使用 AD 凭据登录时,您的 UID 和 GID 是根据哈希值分配的,这意味着它们在整个基础设施中是相同的。这意味着 NFS 之类的东西可以工作。此外,由于同样配置了 PAM,因此可以很容易地对 Samba 和 Apache 等进行身份验证。

多亏了 Likely Open,我提供的所有基于网络的服务都没有经过 AD 身份验证。

答案2

因为我们正在讨论 AD,所以我将在这里假设一个企业环境。

我有几百台 RHEL3、4 和 5 机器,运行着基于 Active Directory 的用户帐户。它们都运行相同的配置,使用 nss_ldap 和 pam_krb5。它工作得非常出色,在标准支持选项中受到所有商业 Linux 供应商的支持,因为它使用开箱即用的工具并且坚如磐石。最后,AD 只是 Kerberos 和 LDAP,对于供应商来说,这些都是标准化的、易于支持的协议。

我还没有遇到过这种使用 AD 的方式无法解决的问题。斯科特·洛的文档这里在最初设计我们的解决方案时给了我很大帮助。它并不完美,但它会帮助您开始。 Scott 的想法是为 LDAP 创建一个绑定帐户,但我不太喜欢。加入 AD 的计算机可以使用自己的凭据执行 LDAP 查询,如果您问我的话,这要明智得多。

根据您的要求,您可能需要退一步考虑是否需要受支持的解决方案。因为“同样”可能很好,但它相当昂贵。使用附带的工具每一个默认情况下并因此受支持的 Linux 发行版可能是微小的有点复杂(但这不应该吓跑优秀的 Linux 管理员),但同样好(或者可能更好,具体取决于您的要求)。

我可以更详细地写下我是如何做到这一点的,但我现在没有时间。这会有帮助吗?

答案3

不完全是AD,但我在这里得到了类似问题的很好答案:

答案4

这是非常可行的,并且已经完成了。

正如有人已经提到的,同样会给你直接集成。然而...

如果您想尝试一下,您也可以winbind从 Samba 项目进行安装,这会给您带来相同的体验。使用 winbind,您的计算机将成为域成员...并且可以透明地映射和分配 Active Directory 中的用户帐户 UID/GID 设置。

相关内容