Мы экспериментировали с интеграцией систем Linux в то, что в основном является доменом Windows, с сервером Active Directory на базе Windows. После значительных проб и ошибок мы успешно настроили sssd (на RHEL, CentOS и Ubuntu), чтобы разрешить вход в систему пользователей AD, привязанный к группам безопасности AD. Мы давно решили проблему разрешения входа в AD; было немного сложнее ограничить доступ только определенным пользователям домена AD, как это было необходимо в нашем случае использования. Последнее препятствие связано с экспериментом по попытке «автоматически смонтировать» домашние каталоги с сервера хранения Windows, когда что-то вроде pam mkhomedir создает эти домашние каталоги, если они еще не существуют. Я говорю эксперимент, потому что мы всегда можем вернуться к использованию сервера хранения Linux. Оптимальная система будет иметь пользователей с некоторым уровнем унификации профилей пользователей Windows домашнего каталога Linux (аналогично тому, что Samba дает вам с профилями домена NT), но на данный момент мы не можем заставить это работать для клиентов Linux. Используя такую команду
mount.cifs //cnsdisk/Home/pgoetz /home/pgoetz -o username=pgoetz,sec=krb5,vers=3.0,uid=pgoetz,cruid=pgoetz
Будет работать только для одного пользователя, у которого уже есть билет tgt kerberos для монтирования общего ресурса Windows, но второй пользователь будет заблокирован. Я думаю, что если мы даже не сможем заставить работать ручные крепления, нет никакой надежды на создание автоматизированного решения.
Я не ожидаю, что кто-то сможет ответить на этот вопрос (статья в базе знаний RHEL, как утверждается, решает эту проблему; не сработала для нас); просто разочарован тем, что такого рода проблемы еще не были тщательно проработаны и задокументированы.
Изменить: я почти уверен, что многопользовательский Опция, представленная выше, устарела, но служба технической поддержки RHEL включила ее в свое решение, поэтому я оставил ее. Не думаю, что это помогает.