Назад | Перейти на главную страницу

SSO для linux / AD Windows 2008

У меня несколько CENTOS серверы, которые в настоящее время работают на локальном /etc/passwd для управления учетной записью пользователя и иметь локальные домашние папки и т. д.

Это вызывает боль, когда пользователи выходят на борт и т. Д., Так как мне нужно входить на каждый сервер, чтобы контролировать пользователей. В настоящее время у нас есть домен AD 2008 года, и мы хотели бы использовать его, чтобы SSO (единый вход на всех серверах).

Я хотел бы разрешить доступ только определенным пользователям для входа на серверы Linux и хотел бы иметь возможность поддерживать локальные системные учетные записи и т. Д. На ящиках Linux. В настоящее время пользователи имеют одинаковые имена пользователей firstname.lastname как в Linux, так и в AD.

Я нашел много разных руководств, но кажется, что у каждого есть свой способ сделать это, и ни один из них не работает очень хорошо.

Может ли кто-нибудь предложить мне обновленное руководство, которое хорошо работает с 2008 годом (я должен отметить, что самба и т. Д. Теперь работает с 2008 годом в последних версиях)

  1. Придется ли мне удалить учетные записи локальных пользователей?
  2. Я так понимаю, они получат новые домашние папки (было бы неплохо сохранить свои старые, но это не имеет большого значения), если бы они могли получить доступ к домашним папкам через общий ресурс Windows и т. Д., Это было бы круто.
  3. Нужно ли мне вносить какие-либо изменения в конфигурацию серверов AD 2008?

То, что сделал Университет Эмори, выглядит многообещающим:

Kerberos, единый вход и авторизация LDAP для Apache под управлением CentOS 5.5.

Не забывайте команды kinit и klist для проверки вашего ключа Kerberos на ваших ящиках CentOS.

Я понимаю, что это немного поздно, но я большой поклонник использования аутентификации RADIUS. Правильно настроенные пользователи по-прежнему могут администрироваться и управляться через Puppet (очень важно для меня), но по-прежнему использовать информацию учетной записи из AD.

Мне нравится использовать сервер RADIUS от Microsoft - NPS - бесплатный продукт, который хорошо работает для подключения всего с помощью единого входа (я также использую его для своих сетевых коммутаторов и пары устройств, с которыми я имею дело).

Если вы хотите выполнить этот маршрут, установите модуль pam_radius (вам может потребоваться поискать его, но есть RPM). Вам нужно будет обновить только два или три файла конфигурации, чтобы он работал правильно (что я также делаю через Puppet).

/ и т.д. / Raddb / сервер

<hostname>:port <password> 3:3

system-auth-ac

auth sufficient pam_unix.so ...
auth        sufficient    pam_radius_auth.so
...

Вот подробная информация об аутентификации Active Directory с использованием LDAP: http://en.gentoo-wiki.com/wiki/Active_Directory_Authentication_using_LDAP

Это часть документации Gentoo linux (WiKi), но инструменты и механизмы одинаковы для всех дистрибутивов Linux. Надеюсь, здесь вы найдете ответы на большинство своих вопросов.