Linux
與 Linux 中的 Active Directory 集成(Authn 和 Authz)
我正在嘗試為 linux 伺服器找到一個統一的身份驗證方案來針對 Active Directory 進行身份驗證。主要是 Ubuntu 和 CentOS 伺服器。
我需要的:
- 免費、穩定的解決方案
- 統一的 UID/GID,這樣文件夾的權限是相同的,無論它是從哪個伺服器掛載的
- 支持遞歸組和組映射(EG sudo 權限和登錄權限,這樣只有組 X 的成員才允許登錄)
- 主目錄交叉掛載,使主目錄跨伺服器交叉掛載,以獲得統一的體驗
- 至少對 Ubuntu 和 CentOS 的統一支持(最好是任何風格)
- 保留本地帳戶(至少為 root)
- 理想情況下,不需要電腦帳戶的解決方案,只需使用 LDAP 綁定進行身份驗證,然後進行組查找以進行授權(不知道這將如何影響其他要求)
我發現的替代方案是:
- PowerBroker® Identity Services 開放版(以前同樣開放)
- 集中快遞
- 萬邦
過去我對同樣打開的體驗很差(身份驗證隨機阻止 ssh 登錄),但我還沒有測試過更名的版本。集中我沒有嘗試過,但似乎很有希望,儘管我還沒有找到一個很好的資源來了解如何實現我的目標。我猜Winbind是最可定制的,至少為了完成我的最後一點。
我願意接受任何可以解決我的問題的解決方案,但最重要的是,我正在尋找一個安裝指南,了解如何在 Ubuntu 和 CentOS 上完成上述所有操作
是否有任何可用的免費工具可以讓我相對輕鬆地解決我的要求,如果有,這樣做的有效配置是什麼?
Winbind 可能是您最好的問題(這是我們在基礎設施中執行的)。
不同伺服器的 UID/GID 不一定相同,但您應該能夠通過 Samba 管理對您需要的任何文件夾/資源的訪問,並讓它使用域帳戶。在登錄和 sudo 權限方面,一旦設置了 winbind,您應該能夠使用通常的 access.conf 和 sudoers 文件來管理那些引用 windows 域帳戶的權限。我不完全確定主目錄 crossmount(沒有試圖暗示)但它在 CentOS 和 Ubuntu 上都受支持。可以保留本地帳戶,並且不需要電腦帳戶。
我在下面提供了一些資源連結,這些連結可能會在實施過程中為您提供幫助。