验证针对AD的Linux服务器有多实用?

Modified on: Sat, 24 Aug 2019 21:00:02 +0800

我们在我们的软件开发公司使用Windows和Linux服务器。

此设置的一个摩擦点是我们没有单点登录解决方案。我们更多的是微软商店,而不是Linux商店,我们想要对AD进行身份验证。

我在线阅读了几篇文章,我理解这是可能的。

我们目前在Linux上使用以下需要身份验证的服务:
- git服务器(通过SSH)
- Sendmail
- 目前使用.htaccess文件的Apache Web服务器
- SAMBA文件共享

我想知道的是这种设置有多实用?它真的有用还是容易出错?

最佳答案

它并不难,而且非常实用。

我们有几百台使用AD身份验证的双启动桌面计算机以及许多使用AD身份验证的服务器,使Windows客户端无需用户明确授权即可使用其samba共享。

还有另一篇关于SF的文章,关于你需要做什么。

基本上你需要配置kerberos,winbind,nss和pam。

然后你做一个kinit和一个net ads join和你的。

如果需要,您可以将pam配置为使用多种方法进行身份验证,因此如果一种方法不起作用,它将回退到下一种方法。

我们通常将文件,winbindd和ldap用于向Windows服务器提供文件共享的服务器。

如果可能的话,我会使用LDAP作为帐户信息,严格使用windbind进行身份验证,但我相信如果需要,可以在/ think /etc/ldap.conf中映射属性。
如果您最终使用winbindd获取帐户信息,则可以使用RID(散列方法)生成uid / gids,但也可以使用其他方法。
我们在一个大型文件服务器上使用了RID,这真的很痛苦,所以如果可能的话,我会尝试探索其他选项之一。
在我们的例子中,所有AD用户和组都由上游IDM系统反映在LDAP中,因此我们在新服务器上使用LDAP作为帐户信息,并使用winbind纯粹用于auth。

作者:,Jason Tan

相关问答

添加新评论