Назад | Перейти на главную страницу

linux - проверка подлинности windows ad - зачем присоединяться к домену?

При использовании Windows AD для аутентификации пользователей на серверах Linux есть ли преимущество в использовании Winbind и «Присоединения к домену» по сравнению с простой аутентификацией через Kerberos и поиском UID, GID, домашнего каталога и т. Д. В LDAP?

Да, Winbind автоматизирует настройку объекта в Active Directory. Я пробовал настроить Kerberos для аутентификации в AD вручную, и это ужасно. Требуется множество непонятных команд в командной строке Windows и расширения AD Unix. Мне так и не удалось заставить его работать, а расширения AD Unix устарели для AD после Windows 2012.

В последнее время realmd значительно упростит интеграцию серверов Linux в AD. Он устанавливает SSSD и Kerberos локально и создает все необходимые объекты в AD. Я использовал его для интеграции Ubuntu, CentOS и Fedora в домен AD, и он работает очень хорошо. CentOS и Fedora были безупречными, а Ubuntu хорошо работает после того, как были выполнены все необходимые шаги настройки.

область: https://freedesktop.org/software/realmd/

Вам все равно придется запрашивать в AD соответствующие атрибуты unix с Kerberos или без него. Kerberos предоставит вам SSO (если вы используете те же учетные данные для входа на серверы Linux, что и для входа на рабочую станцию ​​Windows).

И, по крайней мере, на рабочих станциях Windows, если вы сравните их с агентами SSH, доступными в Windows, вы обнаружите, что агенты SSH на этой платформе не делают особенно безопасных вещей с закрытыми ключами (например, удаляют их после периода простоя, или когда экран блокируется и т. д.)

Active Directory по умолчанию не разрешает анонимную привязку LDAP. Присоединение хоста к домену делает хост «доверенным», поэтому он может получить доступ к ресурсам домена (например, LDAP) со своими собственными учетными данными.

Это мало что значит, если вы разрешите анонимную привязку в AD.