LDAP、活動目錄
我擁有的:
- 在遠端 NFS 伺服器上執行 Ubuntu Jaunty 安裝 /home 的工作站。使用者帳戶仍然在每個單獨的工作站上本地創建。
- 執行 Windows XP / Vista 的工作站
- NFS 伺服器(如上所述)
- 視窗 2008 伺服器
- 所有機器共享一個專用網路 (LAN)。
我需要完成的事情:
供辦公室管理員創建使用者帳戶的單一、直覺(GUI 驅動)位置。這應該讓任何人登錄到他們的(linux 或 windows)工作站,然後啟動遠端桌面並使用相同的登錄方式從網路上的任何機器登錄到 Windows 2008 伺服器。
我已經閱讀了很多關於 samba、LDAP 與 AD 等的內容,現在我比開始研究這個問題之前更加困惑。理想情況下,Linux和Windows 使用者在登錄 Win2008 伺服器後應該能夠訪問他們的本地文件。我是一名程序員,而不是互操作性專家,我完全不知道從哪裡開始嘗試實現這一點,而且我已經用完了Google的東西。
你會怎麼做?甚至可能嗎?
編輯
MacOS 不是考慮因素。與個人筆記型電腦打交道的最後是在它們插入時為其分配一個 IP。我只關心存在於完全不同子網上的 Linux / Windows 工作站。
簡單的方法:嘗試使用 Microsoft 的 Unix 服務,它將 unix 屬性映射到 windows AD。
困難的方式:請參閱我在 389 Directory Server 列表中的文章以獲取解決方案。我已經使用 389 個 ldap 伺服器和 PAM 模組完成了類似的請求,以通過 Kerberos 對 Windows AD 進行身份驗證。
身份驗證:Unix 上的使用者將使用 windows 密碼通過簡單的 ldap 身份驗證登錄/ssh。LDAP 伺服器使用 PAM Pass-Through 身份驗證模組通過 kerberos 與 AD 對話,從而消除了對客戶端的任何 samba/winbind 要求。Windows 使用者顯然使用 Windows 密碼。
在 389 個 LDAP 伺服器中創建帳戶:我編寫了一個 perl 腳本,它使用適當的屬性和 UID/GID 值同步來自 Windows AD ou=Users(人類帳戶)、ou=Unix(Unix 服務帳戶)的使用者。因此,在 AD 上創建的所有帳戶都將自動在 LDAP 伺服器上創建,並且不需要同步密碼(見上文)。
本地文件:LDAP 中的 NFS 自動掛載允許所有使用者集中主目錄。這也可以在寡婦 AD 中完成。
可以添加很多功能。http://directory.fedoraproject.org/wiki/Documentation
最後一句話:這種方法需要相當長的時間來規劃和實施以滿足您的需求。