active-directory – AD环境中的Linux用户和权限管理

发布时间：2020-12-13 16:46:05 所属栏目：Linux 来源：网络整理

导读：问题：通过Active Directory中的组成员身份,在 Linux服务器上集中用户管理和用户权限管理用户访问资源(访问服务,主目录,加入本地用户组,??文件系统权限等)的需求. 背景：我们有许多Linux服务器,一些CentOS和其他Ubuntu,用于开发,虚拟主机,数据库托管,PXE服务

问题：通过Active Directory中的组成员身份,在 Linux服务器上集中用户管理和用户权限管理用户访问资源(访问服务,主目录,加入本地用户组,??文件系统权限等)的需求.

背景：我们有许多Linux服务器,一些CentOS和其他Ubuntu,用于开发,虚拟主机,数据库托管,PXE服务等.我们还有一个集中的Active Directory环境,所有用户都被添加到并提供加入组织时的组成员身份.

示例：Bob和Alice加入组织,他们被添加到AD中的相应组中,现在他们可以访问我们的一个或多个Linux服务器上的SSH或MySQL.一旦Bob离开,我们将他从AD组中移除,并且他不再能够访问用于SSH,MySQL等的Linux服务器.

注意：如何处理这样的任务？ Linux中是否有一组可用于实现此类操作的实用程序？我们需要授予用户的访问权限取决于他们是Active Directory成员的用户组成员身份.例如,AD Group of Development中的每个人都需要具有SSH访问权限,MySQL访问权限以及Linux版本控制服务器1和2上的主目录.系统管理员AD组中的每个人都需要具有SSH访问权限.所有Linux服务器的SU权限等.我查看了serverfault上的一些现有文章,但没有找到符合此处列出的需求的任何内容.

解决方法

我知道有两种基本技术 –

方法一：Microsoft的Identity Management for UNIX – 这允许您将ActiveDirectory公开为NIS服务器.
这适用于任何* NIX风格(它们都支持NIS),并且具有NIS的所有好处(和缺点).它也得到了微软的正式支持,这意味着如果有东西中断,你可以打电话给某人.

方法二：pam_ldap/nss_ldap(或类似的,较新的系统).
这适用于任何能够对LDAP目录进行身份验证的现代* NIX风格,并且最近可能包含在Ubuntu和CentOS中.它比方法一中的类似NIS的hackery更强大/更现代,但不太可能得到微软的正式支持.

这两种技术都要求您将AD用户和组扩展为POSIX Users&分别为您的* NIX系统提供可用的POSIX UID和GID – Microsoft在Active Directory中提供此功能.
上面方法二的另一个好处是,您可以进一步扩展用户,使您能够使用OpenSSH LDAP Public Key补丁,该补丁允许您将SSH密钥存储在LDAP中,并消除了在网络中同步authorized_keys文件的任务.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!