linux下Active Directory的集成(Authn & Authz)

Question

我正在试图为linux服务器找到一个统一的身份验证方案，以便对Active进行身份验证。主要是Ubuntu和CentOS服务器。

我需要的是：

• 自由、稳定的解
• 统一的UID/GID，这样文件夹上的权限是相同的，无论从哪个服务器挂载
• 支持递归组和组映射(E.G sudo权限和登录权限，以便只允许组X的成员登录)
• 主目录交叉安装，因此主目录跨服务器交叉安装，以获得统一的体验
• 至少对Ubuntu和CentOS的统一支持(最理想的是任何口味)
• 保持本地帐户(至少根)
• 理想情况下，解决方案不需要计算机帐户，只需使用LDAP绑定进行身份验证，然后进行组查找以获得授权(不知道这将如何影响其他需求)。

我发现的替代方案是：

• PowerBroker身份服务开放版(以前也是Open)
• 中央快车
• 温宾德

在过去，我有过类似的打开(身份验证是随机阻止ssh登录)的糟糕体验，但是我还没有测试重命名版本。Centrify我没有尝试过，但看起来很有希望，尽管我还没有找到一个好的资源来实现我的目标。我猜Winbind是最可定制的，至少是为了完成我的最后一点。

我对解决我的问题的任何解决方案都是开放的，但最重要的是，我正在寻找一个关于如何在Ubuntu和CentOS上完成上述所有工作的安装指南

有没有可用的免费工具，我可以相对容易地解决我的需求，如果是，有什么有效的配置来这样做呢？

Answer 1

Winbind可能是您最好的问题(这是我们在infastructure中运行的内容)。

不同服务器之间的UID/GID不一定相同，但是您应该能够通过Samba管理对任何文件夹/资源的访问，并让它使用域帐户。在登录权限和sudo权限方面，您应该能够管理那些具有通常的access.conf和sudoers文件的用户，这些文件在winbind设置后引用windows域帐户。我不太确定主目录是否是十字形目录(还没有尝试实现这个功能)，但是CentOS和Ubuntu都支持它。当地帐户将能够保存，它将不需要一个计算机帐户。

我已经包含了一些链接到以下的资源，可以帮助您的实现。

• 桑巴·温绑定
• 桑巴族
• undefined
• 红帽6身份验证文档

Answer 2

你有没有研究过FreeIPA是否能满足你的需求？还可以检查这个链接。