基于ActiveDirectory的身份管理

Question

用ActiveDirectory管理我的Unix/Linux用户帐户的最好或最可靠的方法是什么？或者，这是否可行？

Answer 1

我强烈(强烈)建议使用同样打开来做这件事。每次我说起他们，我听起来就像个有报酬的小屁屁，但我不是。真的有那么好。

本质上，您安装了软件(无痛，有一个RPM和Essentially )，运行“domainjoin domain.com adminuser"，键入"adminuser”的密码，然后您的计算机就是AD域的一部分。

我要做的一件事是在配置中打开“假定默认域”设置，因为我不希望用户每次连接到计算机时都必须键入他们的域。

好处是巨大的。当您使用AD凭据登录时，您的UID和GID是基于哈希分配的，这意味着它们在整个基础结构中是相同的。这意味着像NFS这样的东西可以工作。此外，让Samba和Apache这样的东西进行身份验证也很简单，因为它同样配置PAM。

同样地，由于Open，我提供的基于网络的服务中没有一个不是针对AD进行身份验证的。

Answer 2

因为我们讨论的是AD，所以我将在这里假设一个企业环境。

我有几百个RHEL3，4个和5个盒子运行基于Active Directory的用户帐户。它们都使用nss_ldap和pam_krb5运行相同的配置。它的工作原理非常棒，在标准支持选项中得到了所有商业Linux供应商的支持，因为它使用的是开箱即用的工具，而且非常坚固。最后，AD只是Kerberos和LDAP，对供应商来说，这些是标准化的、易于支持的协议。

这种使用AD的方法还没有遇到我无法解决的问题。Scott的文档这里在最初设计我们的解决方案时对我帮助很大。这并不完美，但它会帮助你开始工作。Scott的想法是为LDAP创建一个绑定帐户，我不太喜欢这个帐户。AD中加入的机器可以使用自己的凭据进行LDAP查询，如果您问我的话，这要明智得多。

根据您的需求，您可能需要后退一步，并考虑是否需要支持的解决方案。因为它可能也很漂亮，但也相当昂贵。使用默认情况下每个Linux发行版附带的工具并因此得到支持，可能会稍微复杂一些(但这不应该吓跑一个优秀的Linux管理员)，但也一样好(或者更好，取决于您的需求)。

我可以更详细地描述我是如何做到这一点的，但我现在没有时间。那有帮助吗？

Answer 3

不完全是AD，但我在这里得到了一个类似问题的好答案：

• 什么是Linux上的活动？