Учитывая существующий сервер LDAP, используемый для аутентификации, могут ли рабочие столы Windows аутентифицировать пользователей с помощью LDAP или, возможно, Kerberos?
Однажды я успешно протестировал это с помощью pGina, но это не очень удобно в настройке.
Вы также можете использовать сервер SAMBA, выступающий в качестве поставщика Active Directory, с серверной частью LDAP, но я еще не тестировал это. Вот два основных шага:
SAMBA как PDC
Базовая конфигурация выглядит так:
[global] passdb backend = tdbsam os level = 33 preferred master = auto domain master = yes local master = yes security = user domain logons = yes logon path = \\%N\profiles\%U logon drive = H: logon home = \\homeserver\%U\winprofile logon script = logon.cmd [netlogon] path = /var/lib/samba/netlogon read only = yes [profiles] path = /var/lib/samba/profiles read only = no create mask = 0600 directory mask = 0700
Подробнее о Документы САМБА.
LDAP
Правильная настройка сервера LDAP не является чем-то тривиальным (как и сервер SAMBA IMHO), но после того, как вы его настроите (OpenLDAP, FDSи т. д.), вот полезная информация о как интегрировать с SAMBA. И более конкретно для RedHat.
Я также слышал, что SAMBA 4 станет полной заменой Active Directory, но кто знает, когда она будет выпущена.
В любом случае, я не знаю, стало ли это легче, чем когда я пробовал (около 2 лет назад), но я надеюсь на это, потому что я сдался после нескольких недель испытаний ... Может, пора попробовать еще раз .
В то время я лично предпочитал FDS потому что у него отличная консоль администратора, и ее было проще настроить.
редактировать: Я только что вспомнил eBox. Я не тестировал его, потому что мне не нравятся универсальные решения, но взгляните на сайт, если хотите (он предлагает гораздо больше, чем контроллер домена).
Не обошлось и без настраиваемого провайдера входа в систему (замена msgina) ...
Лучше всего либо настроить контроллер домена Windows для клиентов Windows для входа в систему (что позволит вам использовать групповые политики и другие полезные вещи), либо синхронизировать его с существующей службой LDAP (см. Службы для Unix). Или используйте самбу и пусть она будет использовать ваш каталог LDAP для аутентификации.