實現以下目標的最明顯方法是什麼:該網站有一個正在運行的 AD 基礎設施,並且該基礎設施的某些部分是緊密耦合的 GNU/Linux 機器,來自 AD OU 的人員ou=linux-users,dc=example,dc=com應該能夠使用他們的電腦登錄到該基礎設施的Linux 部分。 Linux 機器上的 slapd 是 OpenLDAP,AD 的架構來自 Windows 2003,沒有 POSIX 屬性。
答案1
LDAP 同步連接器 (LSC)可用於設定從 AD 到 OpenLDAP 伺服器的連續同步,同時新增您喜歡的生成的額外屬性。
但是,這不會直接允許使用 AD 的憑證,除非您設定 OpenLDAP 將 BIND 請求轉送到 AD 伺服器...但隨後您依賴可用的 AD 基礎架構。
依賴 AD 中的憑證很困難,因為您要么需要在其他地方以明文形式提供憑證,要么依賴使用 AD 進行綁定,要么設定密碼同步。查看Active Directory 密碼同步選項。
該頁面上未描述的選項是從 AD 伺服器匯出雜湊密碼列表,但這是一次性操作,而不是連續同步。
答案2
您不希望 PAM 堆疊中包含 AD 伺服器是否有特殊原因?這裡最好的解決方案是將 POSIX/RFC2307 屬性新增至 AD 用戶,並將 pam_ldap/nss_ldap(或 nss_ldapd)指向 AD 伺服器。
如果您擔心網路安全/負載問題而無法直接查詢 AD,則可以使用 OpenLDAP 的代理/快取功能或部署有限的 AD 從屬伺服器來為 Linux 主機提供服務。
我建議不要使用「增強」帳戶——這可以透過一些相當骯髒的駭客來完成,但根據我的經驗,它太脆弱了,無法信任生產環境。它還打破了「單一權威來源」範例:如果 AD 是您的權威帳戶存儲,則應在其中新增和管理 POSIX 屬性。