Какой самый лучший или самый надежный способ управления учетными записями пользователей Unix/Linux с помощью ActiveDirectory? Или это вообще осуществимо?
решение1
Я очень очень очень (настоятельно) рекомендую использоватьАналогично открытосделать это. Каждый раз, когда я говорю о них, я звучу как платный подставной человек, но это не так. Это просто действительно так хорошо.
По сути, вы устанавливаете программное обеспечение (это несложно, есть установщик RPM и DEB), запускаете «domainjoin-cli domain.com adminuser», вводите пароль для «adminuser», и затем ваш компьютер становится частью домена AD.
Единственное, что я меняю, это в настройках: я включаю параметр «Предполагать домен по умолчанию», поскольку не хочу, чтобы моим пользователям приходилось вводить свой домен каждый раз при подключении к машине.
Преимущества огромны. Когда вы входите в систему с учетными данными AD, ваши UID и GID назначаются на основе хэша, что означает, что они одинаковы во всей инфраструктуре. Это означает, что такие вещи, как NFS, работают. Кроме того, легко заставить такие вещи, как Samba и Apache, проходить аутентификацию, поскольку Likewise настраивает PAM.
Благодаря Likewise Open нет ни одной предлагаемой мной сетевой услуги, которая не проходила бы аутентификацию в AD.
решение2
Поскольку мы говорим об AD, я буду предполагать здесь корпоративную среду.
У меня есть пара сотен RHEL3, 4 и 5 ящиков, работающих с учетными записями пользователей на основе Active Directory. Все они используют одну и ту же конфигурацию, используя nss_ldap и pam_krb5. Он работает блестяще, поддерживается всеми коммерческими поставщиками Linux в стандартной опции поддержки, потому что он использует готовые инструменты и он очень надежный. В конце концов, AD — это просто Kerberos и LDAP, и для поставщиков это стандартизированные, легко поддерживаемые протоколы.
Я еще не сталкивался с проблемой при таком способе использования AD, которую я не смог бы решить. Документация Скотта ЛоуздесьМне это очень помогло при первоначальном проектировании нашего решения. Оно не идеально, но поможет вам начать работу. Идея Скотта — создать учетную запись для LDAP, что мне не очень нравится. Машина, подключенная к AD, может выполнять запросы LDAP со своими собственными учетными данными, что, по моему мнению, гораздо разумнее.
В зависимости от ваших требований, вы можете сделать шаг назад и подумать, нужно ли вам поддерживаемое решение или нет. Потому что Likewise может быть хорошим, но он довольно дорогой. Используя инструменты, которые идут скаждыйДистрибутив Linux по умолчанию и, таким образом, поддерживается, может бытькрошечныйнемного сложнее (но это не должно отпугнуть хорошего администратора Linux), но так же хорош (или, может быть, лучше, в зависимости от ваших требований).
Я мог бы написать немного подробнее о том, как я это сделал, но у меня сейчас нет на это времени. Это поможет?
решение3
Не совсем AD, но я получил хороший ответ на похожий вопрос здесь:
решение4
Это вполне осуществимо и уже сделано.
Как уже кто-то упомянул, Likewise предоставит вам прямую интеграцию. Однако...
Если вы хотите рискнуть, вы также можете установить winbindиз проекта Samba, что даст вам тот же опыт. Используя winbind, ваша машина станет членом домена... и учетные записи пользователей в Active Directory могут быть прозрачно сопоставлены и назначены параметры UID/GID.