Назад | Перейти на главную страницу

Текущая передовая практика использования AD для аутентификации Linux (2013 г.)

Насколько мне известно, существует 3 (распространенных) способа использования Active Directory в качестве аутентификации и авторизации для хостов Linux:

  1. LDAP
  2. Kerberos
  3. Самба / Winbind

Есть ли (в настоящее время) консенсус относительно того, какой метод является наилучшей практикой?

Я никогда не был полностью ясен в преимуществах / недостатках каждого метода для начала, но каждый документ / учебник говорит по-своему, и не многие из них устарели или объясняют, почему они используют тот или иной метод.

Подход, который я использую сейчас, SSSD. Это довольно безболезненно, и файлы конфигурации чистые. SSSD можно включить во время установки или просто запустить через authconfig командный интерфейс. Недавно я преобразовал около 200 серверов Linux в SSSD из локальной аутентификации и использовал следующие шаги.

Это предполагает систему, подобную Red Hat (RHEL, CentOS, Fedora) ...

1) Загрузите SSSD.

yum install sssd

2). Измените настройки системы authconfig.

authconfig --enablesssd --ldapserver = ldap: //dc1.mdmarra.local --ldapbasedn = "dc = mdmarra, dc = local" --enablerfc2307bis --enablesssdauth --krb5kdc = dc1.mdmarra.local --krb5RArealm = .LOCAL --disableforcelegacy --enablelocauthorize --enablemkhomedir --updateall

3). Обновите содержимое файла конфигурации /etc/sssd/sssd.conf следующим образом:

# sssd.conf

[domain/default]

ldap_id_use_start_tls = False
ldap_schema = rfc2307bis
ldap_search_base = dc=mdmarra,dc=local
krb5_realm = MDMARRA.LOCAL
krb5_server = dc1.mdmarra.local
id_provider = ldap
auth_provider = krb5
chpass_provider = krb5
ldap_uri = ldap://dc1.mdmarra.local,ldap://dc2.mdmarra.local
krb5_kpasswd = dc1.mdmarra.local,dc2.mdmarra.local
krb5_kdcip = dc1.mdmarra.local,dc2.mdmarra.local
cache_credentials = True
ldap_tls_cacertdir = /etc/openldap/cacerts
ldap_force_upper_case_realm = True
ldap_user_object_class = person
ldap_group_object_class = group
ldap_user_gecos = displayName
ldap_user_home_directory = unixHomeDirectory
ldap_default_bind_dn = ldapuser@mdmarra.local
ldap_default_authtok_type = password
ldap_default_authtok = fdfXb52Ghk3F

[sssd]
services = nss, pam
config_file_version = 2

domains = default

[nss]
filter_users = root,ldap,named,avahi,haldaemon,dbus,radiusd,news,nscd

[pam]

[sudo]

[autofs]

[ssh]