通过Active Directory ( AD )认证Linux登录而不将Linux机器连接到AD域

Question

我在Azure的Windows上部署了一个传统的Active Directory Infra。此约定AD与Azure AD没有集成。

我希望使用SLES 12 SP3的Azure上的Linux能够根据我们传统的AD设置进行身份验证，而根本不需要加入AD域。

流动应该是这样发生的：

• 当用户登录到加入SLES12SP3 VM的非域时，应该针对我们的传统AD执行身份验证，以检查凭据。
• 如果成功，请检查是否与名为" name @domain“的本地用户进行映射。
• 如果本地用户不存在，但通过我们的AD成功地进行身份验证，则创建新用户和主目录。

我尝试过使用KRB5和SSSD对PAM模块进行身份验证，但没有达到我想要的场景。我怀疑我可能遗漏了KRB5或SSSD配置文件中的任何设置，或者这个场景无法实现？

请帮帮忙。提前谢谢。

Answer 1

以前有一个用于Unix部分AD的标识管理，它允许您指定主目录、用户shell和其他Posix属性，并允许用户通过AD从Linux进行身份验证。这是不再的情况。截至服务器2008，该部分已被废弃。您可以尝试使用ADSI编辑手工设置值，但如果不小心，自由格式条目可能会使事情变得一团糟。我不知道是否有一种方法可以合理地跟踪Unix /GID，这样您就不会最终复制它们。最后我和SASL通通一起去了。您必须找到一种方法来管理它，但最终您只需要一个密码，而不是其他任何东西。所有Posix属性都来自OpenLDAP。在Linux上运行它的大部分提供了许多自动化目录管理的工具。