集中认证-推荐？

Question

我面前有一个挑战，那就是集中认证。句号。

那是因为我和我的大嘴巴说我喜欢LDAP，任何东西都可以对它进行身份验证。我这里几乎所有类型的桌面，Mac，Windows多达7，以及基于Ubuntu和Fedora的发行版的安装数量。

我没有问题，通过所有的配置工作。事实上，这应该是相当有趣的，我只是想要一些建议，我应该看看哪些实现。

谢谢

Answer 1

就本机而言，Windows机器只能针对其所在的AD域(或其所在域所信任的域)进行身份验证。您可以找到替代的GINAs，我相信有一个用于普通的LDAP。

但是，一旦您有了AD域，您还可以使用Kerberos和LDAP作为交易的一部分。您可以针对AD对OS进行身份验证，还可以使用PAM来根据AD的LDAP部分对Linux机器进行身份验证。

Answer 2

我会把所有的Windows机器放到一个域中，这使得集中式认证对他们来说非常简单。

麦克可以通过AD进行身份验证。

对于Linux机器，我将使用SSSD，它通常与Kerberos一起工作，如果实现得当，还允许域帐户和本地帐户更改密码，并为膝上型计算机实现密码缓存。sssd包应该可以从货架上获得Ubuntu和Fedora (我们在Debian压缩中使用它，它很有魅力)。

对于其他各种应用程序，特别是web应用程序，LDAP身份验证也相对容易实现，因为大多数脚本语言都有LDAP模块。

有几个应用程序会遇到麻烦。示例: Microsoft V10和优先程序不支持LDAP/AD身份验证，但它已被承诺用于下一个版本。