Я пытаюсь понять, как использовать Windows Server 2008 R2 в качестве сервера LDAP для клиентов Linux.
В идеале пользователи должны иметь возможность входить на свои рабочие станции Linux через pam_ldap, аутентифицируясь в AD. (к сожалению, winbind не подходит)
Я посмотрел на службы Windows для Unix, но, похоже, скоро они перейдут на EOL.
Есть ли другой способ добиться этого?
Спасибо за предложения. Как я уже упоминал в исходном сообщении, службы Windows для Unix скоро будут EOL, но я нашел замену для всех, кто заинтересован.
В Windows Server 2008 R2 необходимо установить компонент «Подсистема для приложений на базе UNIX».
Во-вторых, в разделе «Роли»> «Доменные службы Active Directory» необходимо установить «Управление идентификацией для Unix».
После их установки у каждого пользователя будут дополнительные атрибуты unix :)
Отображение ldap для /etc/ldap.conf выглядит следующим образом:
# RFC 2307 (AD) mappings
nss_map_objectclass posixAccount user
nss_map_objectclass shadowAccount user
nss_map_attribute uid sAMAccountName
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute shadowLastChange pwdLastSet
nss_map_objectclass posixGroup group
nss_map_attribute uniqueMember member
pam_login_attribute sAMAccountName
pam_filter objectclass=User
pam_password ad
Радости взаимодействия ...
Аналогично Открыть у меня сработало - довольно просто установить и не требует изменений в AD. Бесплатная версия дает вам возможность входа в систему. Если вы платите за версия Enterprise вы получаете групповую политику и множество других вещей.
Вы можете попробовать http://www.quest.com/authentication-services/active-directory-for-unix.aspx (бывшая Винтела).
У меня нет опыта в настройке, но мой предыдущий работодатель использовал это, и он очень хорошо работал на наших рабочих станциях Linux.
Вы можете прочитать документ Microsoft, используя Windows Services для Unix ([W] SfU). Эта ссылка включает документацию об этом очевидно. По ссылке:
Том 2: Решения, использующие аутентификацию Kerberos (конечные состояния 1 и 2). Описывает реализацию конечных состояний 1 и 2 с использованием различных технологических подходов. В конечном состоянии 1 клиенты UNIX используют Active Directory Kerberos для аутентификации, но продолжают использовать существующее хранилище данных на основе UNIX для авторизации. В конечном состоянии 2 клиенты UNIX используют Active Directory Kerberos для аутентификации и Active Directory LDAP для авторизации.
Сообщите нам, работает ли это для вас; Мне очень интересно реализовать такую вещь для проектов Linux.
Ознакомьтесь с Centrify, который предоставляет собственный агент для прямого подключения к AD на сотнях различных версий UNIX или Linux (или OS X). Есть бесплатный товар (Центрифай Экспресс), который включает поддержку аутентификации для клиентов PAM, NSS и Kerberos. Кроме того, у них есть бесплатное приложение Windows для одновременного развертывания и удаленного управления множеством серверов.
Платные пакеты включают в себя групповую политику, контроль доступа, авторизацию, управление привилегированными пользователями, отчетность, запись / аудит сеанса пользователя, шифрование / аутентификацию данных на проводе и многое другое.
Используется в производстве на большой части серверов Fortune 2000 UNIX и Linux.
Кори - менеджер по продукту Centrify