验证针对AD的Linux服务器有多实用？

我们有几百台使用AD身份验证的双启动桌面计算机以及许多使用AD身份验证的服务器,使Windows客户端可以使用他们的samba共享而无需用户进行显式身份验证.

关于你需要做什么的另一篇关于SF的文章.

基本上你需要配置kerberos,winbind,nss和pam.

然后你做一个kinit和一个网络广告加入你的.

如果需要,您可以将pam配置为使用多种方法进行身份验证,因此如果一种方法不起作用,它将回退到下一种方法.

我们通常使用文件,winbindd和ldap为服务器提供文件到Windows服务器.

如果可能的话,我会使用LDAP作为帐户信息,严格使用windbind进行身份验证,但我相信如果需要,可以在/ think /etc/ldap.conf中映射属性.如果您最终使用winbindd获取帐户信息,则可以使用RID(散列方法)生成uid / gids,但也可以使用其他方法.我们在一个大型文件服务器上使用了RID,这真的很痛苦,所以如果可能的话,我会尝试探索其他选项之一.在我们的例子中,所有AD用户和组都由上游IDM系统反映在LDAP中,因此我们在新服务器上使用LDAP作为帐户信息,并使用winbind纯粹用于auth.