ActiveDirectory を使用して Unix/Linux ユーザー アカウントを管理する最良または最も信頼性の高い方法は何ですか? あるいは、これは実現可能でしょうか?
答え1
ぜひ使用することをお勧めします同様に開くこれをやるために。私がこれについて話すたびに、私は金で雇われたサクラのように聞こえますが、そうではありません。本当にそれほど素晴らしいのです。
基本的には、ソフトウェアをインストールし (RPM と DEB インストーラーがあるので簡単です)、「domainjoin-cli domain.com adminuser」を実行して、「adminuser」のパスワードを入力すると、マシンが AD ドメインの一部になります。
私が変更するのは構成で、デフォルトのドメイン設定をオンにすることです。これは、ユーザーがマシンに接続するたびにドメインを入力しなくても済むようにするためです。
メリットは膨大です。AD 認証情報を使用してログインすると、UID と GID がハッシュに基づいて割り当てられるため、インフラストラクチャ全体で同じになります。つまり、NFS などが機能します。さらに、Likewise が PAM を構成するため、Samba や Apache などの認証も簡単に行えます。
Likewise Open のおかげで、私が提供するネットワークベースのサービスで AD に対して認証されていないものは 1 つもありません。
答え2
ここでは AD について話しているので、エンタープライズ環境を想定します。
私は、Active Directory ベースのユーザー アカウントで実行している RHEL3、4、5 のボックスを数百台持っています。それらはすべて、nss_ldap と pam_krb5 を使用して同じ構成で実行しています。これは非常にうまく機能し、すぐに使用できるツールを使用し、非常に堅牢であるため、すべての商用 Linux ベンダーによって標準サポート オプションでサポートされています。結局のところ、AD は Kerberos と LDAP であり、ベンダーにとって、これらは標準化され、簡単にサポートできるプロトコルです。
AD をこのように使用しても解決できない問題に遭遇したことはありません。Scott Lowe のドキュメントここ当初ソリューションを設計する際に、かなり役立ちました。完璧ではありませんが、作業を開始する上では役立ちます。Scott のアイデアは、LDAP のバインド アカウントを作成することですが、私はあまり好きではありません。AD に参加しているマシンは、独自の資格情報を使用して LDAP クエリを実行できます。これは、私に言わせれば、はるかに理にかなっています。
要件によっては、サポートされたソリューションが必要かどうかを検討する必要があるかもしれません。Likewiseは素晴らしいですが、かなり高価です。毎Linuxディストリビューションはデフォルトでサポートされているため、小さい少し複雑ですが (ただし、優秀な Linux 管理者にとってはそれほど問題ではありません)、同様に優れています (要件によっては、さらに優れている場合もあります)。
これをどうやってやったかについてもう少し詳しく書くこともできますが、今は時間がありません。役に立つでしょうか?
答え3
正確には AD ではありませんが、ここで同様の質問に対する良い回答を得ました:
答え4
それはかなり実現可能であり、すでに実行されています。
すでに誰かが言及しているように、Likewise は直接統合を提供します。ただし...
思い切ってやってみたい場合は、winbindSamba プロジェクトからインストールすることもできます。これにより、同じエクスペリエンスが得られます。winbind を使用すると、マシンがドメイン メンバーになり、Active Directory 内のユーザー アカウントを透過的にマッピングして、UID/GID 設定を割り当てることができます。