В настоящее время я немного возился на своем рабочем месте с AD, Netboot и Linux.
У нас есть несколько ПК под управлением MacOS и Windows, которые все являются частью домена Active Directory 2008. Большинство компьютеров имеют двойную загрузку с разными именами хостов и учетными записями AD для каждой ОС.
Я начал экспериментировать с бездисковыми установками Linux с использованием iPXE в сочетании с сетевым блочным устройством (с включенным копированием при записи), который работает на удивление хорошо, учитывая очень медленный жесткий диск на сервере NBD. Имена хостов для ящиков предоставляются через DNS.
Но теперь я немного застрял в том, как дать пользователям AD возможность входить в экземпляры единого бездискового образа. Я смог присоединиться к домену с одного компьютера и «сохранить» это в образ. (Winbindd это где-то сохраняет? Что сохраняет?) с помощью этот Теперь иногда я могу войти в систему с другого компьютера, иногда нет. Как ни странно, похоже, что он работает из sddm и gdm, но не из ttys, даже если они используют один и тот же PAM-Config.
Теперь я не уверен, можно ли использовать одну учетную запись AD-Computer для нескольких экземпляров для обеспечения входа пользователя.
Сохраняется ли где-нибудь состояние "присоединенное к AD"? Могу ли я использовать одну учетную запись для нескольких экземпляров? Могу ли я использовать экземпляры одновременно, не вызывая каких-либо механизмов безопасности? Могу ли я объединить несколько компьютеров (с разными именами хостов) с помощью одного единого образа? Могу ли я каким-то образом использовать учетные записи Windows, уже присоединенные к домену?
Из того, что я понял, для клонированных изображений не проблема иметь одинаковый SID, потому что уникальный RID генерируется при присоединении. (Присоединение клонированной виртуальной машины Linux к Active Directory).
Но разве RID не будет таким же, если я клонирую изображение (или использую «единое изображение» в моем случае)?
Далее: есть ли другой способ обеспечить аутентификацию через AD без того, чтобы Linux-сервер был членом домена? (например, просто используя функцию LDAP?)
Спасибо за ваш ответ.
В конце концов, я просто использовал LDAP-часть сервера AD, используя это руководство (https://wiki.archlinux.org/index.php/LDAP_authentication). pam_mount был так же счастлив смонтировать домашние каталоги, как и с winbind.
Меньше хлопот, результат тот же (по крайней мере, для пользователя).