使用 ActiveDirectory 进行身份管理

我高度高度高度（强烈）推荐使用同样打开去做这个。每次我谈论他们时，我听起来就像是一个受雇的托儿，但我不是。真的就是那么好。

本质上，您安装软件（无痛，有 RPM 和 DEB 安装程序），运行“domainjoin-cli domain.com adminuser”，输入“adminuser”的密码，然后您的计算机就成为 AD 域的一部分。

我所做的一件事是在配置中更改，我打开假定默认域设置，因为我不希望我的用户每次连接到计算机时都必须键入其域。

好处是巨大的。当您使用 AD 凭据登录时，您的 UID 和 GID 是根据哈希值分配的，这意味着它们在整个基础设施中是相同的。这意味着 NFS 之类的东西可以工作。此外，由于同样配置了 PAM，因此可以很容易地对 Samba 和 Apache 等进行身份验证。

多亏了 Likely Open，我提供的所有基于网络的服务都没有经过 AD 身份验证。

因为我们正在讨论 AD，所以我将在这里假设一个企业环境。

我有几百台 RHEL3、4 和 5 机器，运行着基于 Active Directory 的用户帐户。它们都运行相同的配置，使用 nss_ldap 和 pam_krb5。它工作得非常出色，在标准支持选项中受到所有商业 Linux 供应商的支持，因为它使用开箱即用的工具并且坚如磐石。最后，AD 只是 Kerberos 和 LDAP，对于供应商来说，这些都是标准化的、易于支持的协议。

我还没有遇到过这种使用 AD 的方式无法解决的问题。斯科特·洛的文档这里在最初设计我们的解决方案时给了我很大帮助。它并不完美，但它会帮助您开始。 Scott 的想法是为 LDAP 创建一个绑定帐户，但我不太喜欢。加入 AD 的计算机可以使用自己的凭据执行 LDAP 查询，如果您问我的话，这要明智得多。

根据您的要求，您可能需要退一步考虑是否需要受支持的解决方案。因为“同样”可能很好，但它相当昂贵。使用附带的工具每一个默认情况下并因此受支持的 Linux 发行版可能是微小的有点复杂（但这不应该吓跑优秀的 Linux 管理员），但同样好（或者可能更好，具体取决于您的要求）。

我可以更详细地写下我是如何做到这一点的，但我现在没有时间。这会有帮助吗？

不完全是AD，但我在这里得到了类似问题的很好答案：

• Linux 上的 Active Directory 相当于什么

这是非常可行的，并且已经完成了。

正如有人已经提到的，同样会给你直接集成。然而...

如果您想尝试一下，您也可以winbind从 Samba 项目进行安装，这会给您带来相同的体验。使用 winbind，您的计算机将成为域成员...并且可以透明地映射和分配 Active Directory 中的用户帐户 UID/GID 设置。