使用 ActiveDirectory 管理 Unix/Linux 使用者帳戶的最佳或最可靠方法是什麼?或者說,這是否可行?
答案1
我高度高度高度(強烈)建議使用同樣打開去做這個。每次我談論他們時,我聽起來就像是一個受僱的托兒,但我不是。真的就是那麼好。
本質上,您安裝軟體(無痛,有 RPM 和 DEB 安裝程式),執行“domainjoin-cli domain.com adminuser”,輸入“adminuser”的密碼,然後您的電腦就成為 AD 網域的一部分。
我所做的一件事是在配置中更改,我打開假定預設域設置,因為我不希望我的用戶每次連接到電腦時都必須鍵入其網域。
好處是巨大的。當您使用 AD 憑證登入時,您的 UID 和 GID 是根據哈希值分配的,這表示它們在整個基礎架構中是相同的。這意味著 NFS 之類的東西可以工作。此外,由於同樣配置了 PAM,因此可以輕鬆地對 Samba 和 Apache 等進行身份驗證。
多虧了 Likely Open,我提供的所有基於網路的服務都沒有經過 AD 身份驗證。
答案2
因為我們正在討論 AD,所以我將在這裡假設一個企業環境。
我有幾百台 RHEL3、4 和 5 機器,運行基於 Active Directory 的使用者帳戶。它們都運行相同的配置,使用 nss_ldap 和 pam_krb5。它工作得非常出色,在標準支援選項中受到所有商業 Linux 供應商的支持,因為它使用開箱即用的工具並且堅如磐石。最後,AD 只是 Kerberos 和 LDAP,對供應商來說,這些都是標準化的、易於支援的協定。
我還沒有遇到過這種使用 AD 的方式無法解決的問題。斯科特·洛的文檔這裡在最初設計我們的解決方案時給了我很大幫助。它並不完美,但它會幫助您開始。 Scott 的想法是為 LDAP 建立一個綁定帳戶,但我不太喜歡。加入 AD 的電腦可以使用自己的憑證執行 LDAP 查詢,如果您問我的話,這要明智得多。
根據您的要求,您可能需要退一步考慮是否需要受支援的解決方案。因為「同樣」可能很好,但它相當昂貴。使用附帶的工具每一個預設並因此受支援的 Linux 發行版可能是微小的有點複雜(但這不應該嚇跑優秀的 Linux 管理員),但同樣好(或者可能更好,取決於您的要求)。
我可以更詳細地寫下我是如何做到這一點的,但我現在沒有時間。這樣會有幫助嗎?
答案3
不完全是AD,但我在這裡得到了類似問題的很好答案:
答案4
這是非常可行的,並且已經完成了。
正如有人已經提到的,同樣會給你直接整合。然而...
如果您想嘗試一下,您也可以winbind從 Samba 專案安裝,這會為您帶來相同的體驗。使用 winbind,您的電腦將成為網域成員...並且可以透明地對應和指派 Active Directory 中的使用者帳戶 UID/GID 設定。