Identity Management mit ActiveDirectory

Ich empfehle dringend,Ebenso offenum das zu tun. Jedes Mal, wenn ich darüber spreche, klinge ich wie ein bezahlter Lockvogel, aber das bin ich nicht. Es ist einfach wirklich so gut.

Im Wesentlichen installieren Sie die Software (problemlos, es gibt ein RPM- und ein DEB-Installationsprogramm), führen „domainjoin-cli domain.com adminuser“ aus, geben das Kennwort für „adminuser“ ein und dann ist Ihre Maschine Teil der AD-Domäne.

Die einzige Sache, die ich ändere, ist die Konfiguration. Ich aktiviere die Einstellung „Standarddomäne übernehmen“, weil ich nicht möchte, dass meine Benutzer bei jeder Verbindung mit dem Computer ihre Domäne eingeben müssen.

Die Vorteile sind enorm. Wenn Sie sich mit AD-Anmeldeinformationen anmelden, werden Ihre UID und GIDs anhand eines Hashs zugewiesen, was bedeutet, dass sie in der gesamten Infrastruktur gleich sind. Das bedeutet, dass Dinge wie NFS funktionieren. Darüber hinaus ist es einfach, Dinge wie Samba und Apache zur Authentifizierung zu bringen, da Likewise PAM konfiguriert.

Dank Likewise Open gibt es keinen einzigen netzwerkbasierten Dienst, den ich anbiete, der nicht gegenüber AD authentifiziert ist.

Da wir über AD sprechen, gehe ich hier von einer Unternehmensumgebung aus.

Ich habe ein paar hundert RHEL3-, 4- und 5-Boxen mit Active Directory-basierten Benutzerkonten im Einsatz. Auf allen läuft die gleiche Konfiguration mit nss_ldap und pam_krb5. Es funktioniert hervorragend und wird von allen kommerziellen Linux-Anbietern in der Standard-Support-Option unterstützt, da es sofort einsatzbereite Tools verwendet und absolut zuverlässig ist. Letztendlich besteht AD nur aus Kerberos und LDAP und für die Anbieter sind dies standardisierte, leicht zu unterstützende Protokolle.

Ich bin bei dieser Art der Verwendung von AD noch nie auf ein Problem gestoßen, das ich nicht lösen konnte. Scott Lowes DokumentationHierhat mir beim anfänglichen Entwurf unserer Lösung sehr geholfen. Es ist nicht perfekt, aber es wird Ihnen beim Einstieg helfen. Scotts Idee ist, ein Bind-Konto für LDAP zu erstellen, was mir nicht so gefällt. Eine Maschine, die in AD eingebunden ist, kann LDAP-Abfragen mit ihren eigenen Anmeldeinformationen durchführen, was meiner Meinung nach viel sinnvoller ist.

Abhängig von Ihren Anforderungen sollten Sie vielleicht einen Schritt zurücktreten und überlegen, ob Sie eine unterstützte Lösung benötigen oder nicht. Denn so schön Likewise auch sein mag, es ist ziemlich teuer. Mit den Tools, die mitgeliefert werdenjedenLinux-Distribution standardmäßig und werden daher unterstützt, könnte einewinzigetwas komplizierter (aber das sollte einen guten Linux-Administrator nicht abschrecken), ist aber genauso gut (oder vielleicht besser, je nach Ihren Anforderungen).

Ich könnte etwas ausführlicher beschreiben, wie ich das gemacht habe, aber dazu habe ich im Moment keine Zeit. Wäre das hilfreich?

Nicht direkt AD, aber ich habe hier eine nette Antwort auf eine ähnliche Frage bekommen:

• Was ist das Äquivalent von Active Directory unter Linux?

Dies ist durchaus machbar und wird bereits umgesetzt.

Wie bereits erwähnt, bietet Likewise eine direkte Integration. Allerdings ...

Wenn Sie den Sprung wagen möchten, können Sie auch winbindaus dem Samba-Projekt installieren, was Ihnen dasselbe Erlebnis bietet. Mit Winbind wird Ihr Computer ein Domänenmitglied ... und Benutzerkonten in Active Directory können transparent zugeordnet und UID/GID-Einstellungen zugewiesen werden.