Qual é a melhor ou mais confiável maneira de gerenciar minhas contas de usuário Unix/Linux com o ActiveDirectory? Ou isso é mesmo viável?
Responder1
Eu recomendo altamente (altamente) usarDa mesma forma abertopara fazer isso. Cada vez que falo sobre eles, pareço um trapaceiro pago, mas não sou. É realmente muito bom.
Essencialmente, você instala o software (sem problemas, há um instalador RPM e DEB), executa "domainjoin-cli domain.com adminuser", digita a senha para "adminuser" e então sua máquina faz parte do domínio AD.
A única coisa que eu mudo é na configuração, eu ligo a configuração de domínio padrão assumido, porque não quero que meus usuários tenham que digitar seu domínio toda vez que se conectarem à máquina.
Os benefícios são enormes. Quando você faz login com credenciais do AD, seu UID e GIDs são atribuídos com base em um hash, o que significa que são iguais em toda a infraestrutura. Isso significa que coisas como o NFS funcionam. Além disso, é simples fazer com que coisas como Samba e Apache sejam autenticadas, já que o Similarmente configura o PAM.
Graças ao Similar Open, não há um único serviço baseado em rede que eu ofereça que não seja autenticado no AD.
Responder2
Como estamos falando sobre AD, assumirei aqui um ambiente corporativo.
Tenho algumas centenas de caixas RHEL3, 4 e 5 em execução com contas de usuário baseadas no Active Directory. Todos eles executam a mesma configuração, usando nss_ldap e pam_krb5. Ele funciona de maneira brilhante, é suportado por todos os fornecedores comerciais de Linux na opção de suporte padrão, porque usa ferramentas prontas para uso e é sólido como uma rocha. No final das contas, AD é apenas Kerberos e LDAP e, para os fornecedores, esses são protocolos padronizados e de fácil suporte.
Ainda não tive nenhum problema com essa forma de usar o AD que não consiga resolver. Documentação de Scott Loweaquime ajudou bastante ao projetar inicialmente nossa solução. Não é perfeito, mas ajudará você a seguir em frente. A idéia de Scott é criar uma conta vinculada para LDAP, da qual não gosto muito. Uma máquina associada ao AD pode fazer consultas LDAP com suas próprias credenciais, o que é muito mais sensato, se você me perguntar.
Dependendo dos seus requisitos, você pode querer dar um passo atrás e considerar se precisa ou não de uma solução compatível. Por melhor que seja, é bastante caro. Usando as ferramentas que acompanhamtododistribuição Linux por padrão e, portanto, suportada, pode ser umapequenoum pouco mais complicado (mas isso não deve assustar um bom administrador Linux), mas é igualmente bom (ou talvez melhor, dependendo dos seus requisitos).
Eu poderia escrever um pouco mais detalhadamente sobre como fiz isso, mas não tenho tempo para isso agora. Isso ajudaria?
Responder3
Não exatamente AD, mas recebi uma boa resposta para uma pergunta semelhante aqui:
Responder4
É bastante viável e já está feito.
Como alguém já mencionou, Da mesma forma lhe dará integração direta. No entanto...
Se quiser mergulhar, você também pode instalar winbinda partir do projeto Samba, o que lhe proporcionaria a mesma experiência. Usando o winbind, sua máquina se tornará um membro do domínio... e as contas de usuário no Active Directory podem ser mapeadas de forma transparente e atribuídas configurações de UID/GID.