ActiveDirectory를 사용하여 Unix/Linux 사용자 계정을 관리하는 가장 좋고 가장 안정적인 방법은 무엇입니까? 아니면 이것이 가능합니까?
답변1
나는 매우 매우 매우 (매우) 사용을 권장합니다마찬가지로 오픈이것을하기 위해. 내가 그들에 대해 이야기할 때마다 나는 돈을 받는 바보처럼 들리지만 그렇지 않습니다. 정말 너무 좋아요.
기본적으로 소프트웨어를 설치하고(쉽게 RPM 및 DEB 설치 프로그램이 있음) "domainjoin-cli domain.com adminuser"를 실행하고 "adminuser"의 비밀번호를 입력하면 컴퓨터가 AD 도메인의 일부가 됩니다.
제가 변경한 한 가지는 구성에서 기본 도메인 가정 설정을 켠 것입니다. 왜냐하면 사용자가 컴퓨터에 연결할 때마다 도메인을 입력할 필요가 없기 때문입니다.
이점은 엄청납니다. AD 자격 증명으로 로그인하면 UID와 GID가 해시를 기반으로 할당됩니다. 즉, 전체 인프라에서 동일하다는 의미입니다. 이는 NFS와 같은 것이 작동한다는 것을 의미합니다. 또한, Samba 및 Apache와 같은 항목을 인증하는 것도 간단합니다. Like가 PAM을 구성하기 때문입니다.
Also Open 덕분에 내가 제공하는 단일 네트워크 기반 서비스 중 AD에 대해 인증되지 않은 서비스는 없습니다.
답변2
AD에 대해 이야기하고 있으므로 여기서는 엔터프라이즈 환경을 가정하겠습니다.
Active Directory 기반 사용자 계정으로 실행되는 RHEL3, 4 및 5 상자가 몇 백 개 있습니다. 이들 모두는 nss_ldap 및 pam_krb5를 사용하여 동일한 구성을 실행합니다. 훌륭하게 작동하며 모든 상용 Linux 공급업체에서 표준 지원 옵션으로 지원합니다. 기본 도구를 사용하고 견고하기 때문입니다. 결국 AD는 단지 Kerberos와 LDAP일 뿐이며 공급업체에게는 표준화되고 쉽게 지원되는 프로토콜입니다.
저는 아직 AD를 사용하는 방식에서 해결할 수 없는 문제에 부딪힌 적이 없습니다. Scott Lowe의 문서여기처음에 솔루션을 설계할 때 많은 도움이 되었습니다. 완벽하지는 않지만 진행하는 데 도움이 될 것입니다. Scott의 아이디어는 LDAP용 바인딩 계정을 만드는 것인데 저는 별로 좋아하지 않습니다. AD에 연결된 시스템은 자체 자격 증명을 사용하여 LDAP 쿼리를 수행할 수 있습니다. 이는 훨씬 더 정상적입니다.
요구 사항에 따라 한 걸음 물러나 지원되는 솔루션이 필요한지 여부를 고려해 볼 수도 있습니다. 마찬가지로 좋을 수도 있기 때문에 상당히 비쌉니다. 함께 제공되는 도구 사용하기모든Linux 배포판은 기본적으로 지원되므로매우 작은조금 더 복잡하지만(훌륭한 Linux 관리자라면 겁내지 않아야 함) 그만큼 훌륭합니다(또는 요구 사항에 따라 더 나을 수도 있습니다).
제가 이 작업을 어떻게 했는지 좀 더 자세히 기록할 수 있지만 지금은 그럴 시간이 없습니다. 그게 도움이 될까요?
답변3
정확히 AD는 아니지만 여기에서 비슷한 질문에 대한 좋은 답변을 얻었습니다.
답변4
그것은 매우 실현 가능하며 이미 완료되었습니다.
누군가 이미 언급했듯이, 마찬가지로 직접적인 통합을 제공할 것입니다. 하지만...
급락하고 싶다면 winbindSamba 프로젝트에서 설치할 수도 있습니다. 그러면 동일한 경험을 얻을 수 있습니다. winbind를 사용하면 컴퓨터가 도메인 구성원이 되며 Active Directory의 사용자 계정을 투명하게 매핑하고 UID/GID 설정을 할당할 수 있습니다.