验证针对AD的Linux服务器有多实用?

我们在我们的软件开发公司使用WindowsLinux服务器.

这种设置的一个摩擦点是我们没有单点登录解决方案.作为一个微软商店而不是Linux商店我们想要对AD进行身份验证.

我在网上阅读了几篇文章,我理解这是可能的.

我们目前在Linux上使用以下需要身份验证的服务:
– git服务器(通过SSH)
– 发邮件
– 目前使用.htaccess文件的Apache Web服务器.
– SAMBA文件共享

我想知道的是这种设置有多实用?它真的有用还是容易出错?

它并不难,而且非常实用.

我们有几百台使用AD身份验证的双启动桌面计算机以及许多使用AD身份验证的服务器,使Windows客户端可以使用他们的samba共享而无需用户进行显式身份验证.

关于你需要做什么的另一篇关于SF的文章.

基本上你需要配置kerberos,winbind,nss和pam.

然后你做一个kinit和一个网络广告加入你的.

如果需要,您可以将pam配置为使用多种方法进行身份验证,因此如果一种方法不起作用,它将回退到下一种方法.

我们通常使用文件,winbindd和ldap为服务器提供文件到Windows服务器.

如果可能的话,我会使用LDAP作为帐户信息,严格使用windbind进行身份验证,但我相信如果需要,可以在/ think /etc/ldap.conf中映射属性.
如果您最终使用winbindd获取帐户信息,则可以使用RID(散列方法)生成uid / gids,但也可以使用其他方法.
我们在一个大型文件服务器上使用了RID,这真的很痛苦,所以如果可能的话,我会尝试探索其他选项之一.
在我们的例子中,所有AD用户和组都由上游IDM系统反映在LDAP中,因此我们在新服务器上使用LDAP作为帐户信息,并使用winbind纯粹用于auth.

翻译自:https://serverfault.com/questions/15626/how-practical-is-it-to-authenticate-a-linux-server-against-ad

转载注明原文:验证针对AD的Linux服务器有多实用?