Каков наиболее очевидный способ достижения следующего: на сайте есть работающая инфраструктура AD, а определенные части инфраструктуры - это тесно связанные машины GNU / Linux, где люди из подразделения AD. ou=linux-users,dc=example,dc=com должны иметь возможность входить в Linux-часть инфраструктуры, используя свои учетные данные AD, но без использования DC в стеке PAM Linux-машины, то есть должна быть какая-то синхронизация плюс расширение с атрибутами POSIX (uid, gid, homedir, password ) из AD в slapd. Slapd на машинах linux - это OpenLDAP, схема AD взята из Windows 2003 без атрибутов POSIX.
Есть ли конкретная причина, по которой вам не нужны серверы AD в стеке PAM? Лучшее решение здесь - добавить атрибуты POSIX / RFC2307 вашим пользователям AD и указать pam_ldap / nss_ldap (или nss_ldapd) на серверах AD.
Если у вас есть проблемы с сетевой безопасностью / нагрузкой, которые не позволяют вам напрямую запрашивать AD, вы можете использовать возможности прокси / кеширования OpenLDAP или развернуть ограниченные ведомые устройства AD для обслуживания хостов Linux.
Я бы не советовал иметь "расширенные" учетные записи - это можно сделать с помощью некоторых довольно грязных хаков, но, по моему опыту, это слишком хрупко, чтобы доверять ему в производственной среде. Это также разрушает парадигму «одного авторитетного источника»: если AD является вашим авторитетным хранилищем учетных записей, атрибуты POSIX должны добавляться и управляться там.
Соединитель синхронизации Ldap (LSC) может использоваться для настройки непрерывной синхронизации из AD с сервером OpenLDAP, добавляя при этом дополнительные атрибуты, созданные по вашему желанию.
Однако это не позволит напрямую использовать учетные данные AD, если вы не настроите OpenLDAP для пересылки запросов BIND на серверы AD ... но тогда вы будете зависеть от доступности инфраструктуры AD.
Полагаться на учетные данные в AD сложно, потому что вам нужно либо иметь учетные данные в виде открытого текста в другом месте, либо использовать AD для привязок, либо настроить синхронизацию паролей. Проверять, выписываться Параметры синхронизации паролей Active Directory.
Один из вариантов, не описанных на этой странице, - это экспорт списка хешированных паролей с сервера AD, но это однократная операция, а не непрерывная синхронизация.