windows – 在没有Samba / Winbind的情况下针对AD认证CentOS
我们目前使用Samba& amp;和我们的CentOS 5.5服务器对我们的Active Directory环境(
Windows 2003 R2)进行身份验证. Winbind的.它很适合我们,但我们需要更强大的功能,有人建议使用LDAP& Kerberos直接针对AD进行身份验证.这个推动背后的主要动机是我们有不同的UID / GID,其中一个服务器上的单个用户(bob)将具有UID 501,而另一个服务器上的单个用户(bob)将影响SMB安装目录的权限.
这是我的理解(作为一个Linux新手),可以读取AD中的Unix属性,从而在整个环境中集中和标准化我们的UID / GID?我希望这个环境尽可能稳定,并且不要认为Samba / Winbind解决方案的扩展性很好,所以如果我可以通过将AD指向一个理想的LDAP服务器来严格执行此操作. 任何建议都非常感谢,并将阻止我进一步拉头发.
首先,不要忘记在“添加/删除Windows组件”窗口中的“Active Directory服务”下安装“Identity Management for UNIX”窗口组件.
Active Directory DC将为您提供2项服务: >通过LDAP的用户枚举(UID / GID / Home目录/等) 在CentOS服务器上,您需要通过/etc/ldap.conf配置LDAP用户枚举,您的Kerberos配置在/etc/krb5.conf中,并且要使用这些用户,您需要更新/etc/nsswitch.conf. 要启用Kerberos身份验证,您需要编辑/etc/pam.d/system-auth文件. 一些得到的: >确保您的时间与DC和客户端上的可靠来源同步 快速搜索了following guide.在此之后,我会尝试将Kerberos绑定到DC.该指南适用于RHEL5,但在CentOS5上也可以使用 (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |