¿Cuál es la mejor manera, o la más confiable, de administrar mis cuentas de usuario de Unix/Linux con ActiveDirectory? ¿O es esto siquiera factible?
Respuesta1
Recomiendo altamente, altamente (altamente) usarigualmente abiertopara hacer esto. Cada vez que hablo de ellos, parezco un cómplice a sueldo, pero no lo soy. Es realmente así de bueno.
Básicamente, instala el software (sin complicaciones, hay un instalador RPM y DEB), ejecuta "domainjoin-cli domain.com adminuser", escribe la contraseña para "adminuser" y luego su máquina forma parte del dominio AD.
Lo único que cambio es en la configuración: activo la configuración de asumir dominio predeterminado, porque no quiero que mis usuarios tengan que escribir su dominio cada vez que se conectan a la máquina.
Los beneficios son enormes. Cuando inicia sesión con credenciales de AD, su UID y GID se asignan en función de un hash, lo que significa que son los mismos en toda la infraestructura. Esto significa que cosas como NFS funcionan. Además, es sencillo autenticar cosas como Samba y Apache, ya que igualmente configura PAM.
Gracias a Same Open, no ofrezco ningún servicio basado en red que no esté autenticado contra AD.
Respuesta2
Como estamos hablando de AD, asumiré aquí un entorno empresarial.
Tengo un par de cientos de cajas RHEL3, 4 y 5 ejecutándose con cuentas de usuario basadas en Active Directory. Todos ejecutan la misma configuración, usando nss_ldap y pam_krb5. Funciona de manera brillante, cuenta con el respaldo de todos los proveedores comerciales de Linux en la opción de soporte estándar, porque utiliza herramientas listas para usar y es sólido como una roca. Al final, AD es solo Kerberos y LDAP y, para los proveedores, son protocolos estandarizados y fácilmente compatibles.
Todavía tengo que encontrarme con un problema con esta forma de usar AD que no puedo resolver. Documentación de Scott LoweaquíMe ayudó bastante al diseñar inicialmente nuestra solución. No es perfecto, pero le ayudará a ponerse en marcha. La idea de Scott es crear una cuenta vinculante para LDAP, algo que no me gusta mucho. Una máquina unida a AD puede realizar consultas LDAP con sus propias credenciales, lo cual es mucho más sensato, en mi opinión.
Dependiendo de sus requisitos, es posible que desee dar un paso atrás y considerar si necesita una solución compatible o no. Porque por muy bonito que sea, es bastante caro. Usando las herramientas que vienen concadaLa distribución de Linux predeterminada y, por lo tanto, es compatible, podría ser unadiminutoun poco más complicado (pero eso no debería asustar a un buen administrador de Linux), pero es igual de bueno (o tal vez mejor, dependiendo de sus requisitos).
Podría escribir con un poco más de detalle sobre cómo hice esto, pero no tengo tiempo para eso ahora. ¿Eso sería de ayuda?
Respuesta3
No exactamente AD, pero obtuve una buena respuesta a una pregunta similar aquí:
Respuesta4
Es bastante factible y ya está hecho.
Como alguien ya mencionó, Asimismo le brindará integración directa. Sin embargo...
Si desea dar el paso, también puede instalar winbinddesde el proyecto Samba, lo que le brindará la misma experiencia. Al utilizar winbind, su máquina se convertirá en miembro del dominio... y las cuentas de usuario en Active Directory se pueden asignar de forma transparente y asignarles configuraciones UID/GID.