我们目前使用Samba& amp;和我们的CentOS 5.5服务器对我们的Active Directory环境(
Windows 2003 R2)进行身份验证. Winbind的.它很适合我们,但我们需要更强大的功能,有人建议使用LDAP& Kerberos直接针对AD进行身份验证.这个推动背后的主要动机是我们有不同的UID / GID,其中一个服务器上的单个用户(bob)将具有UID 501,而另一个服务器上的单个用户(bob)将影响SMB安装目录的权限.
这是我的理解(作为一个Linux新手),可以读取AD中的Unix属性,从而在整个环境中集中和标准化我们的UID / GID?我希望这个环境尽可能稳定,并且不要认为Samba / Winbind解决方案的扩展性很好,所以如果我可以通过将AD指向一个理想的LDAP服务器来严格执行此操作.
任何建议都非常感谢,并将阻止我进一步拉头发.
首先,不要忘记在“添加/删除Windows组件”窗口中的“Active Directory服务”下安装“Identity Management for UNIX”窗口组件.
原文链接:https://www.f2er.com/windows/367463.htmlActive Directory DC将为您提供2项服务:
>通过LDAP的用户枚举(UID / GID / Home目录/等)
>通过Kerberos进行用户身份验证
在CentOS服务器上,您需要通过/etc/ldap.conf配置LDAP用户枚举,您的Kerberos配置在/etc/krb5.conf中,并且要使用这些用户,您需要更新/etc/nsswitch.conf.
要启用Kerberos身份验证,您需要编辑/etc/pam.d/system-auth文件.
一些得到的:
>确保您的时间与DC和客户端上的可靠来源同步
>确保您有适当的解决方案和后面的解决方案
>必须指南将向您展示如何使用用户/通行证绑定到DC,更安全的方式是使用Kerberos票证进行DC身份验证(对于用户枚举/身份验证)
>它可能无法在第一次拍摄时工作,让root用户尽可能长时间登录以允许快速修复而无需进入Rescue模式(在您将自己封锁在机器之外)之后.
快速搜索了following guide.在此之后,我会尝试将Kerberos绑定到DC.该指南适用于RHEL5,但在CentOS5上也可以使用
