Phi*_*rie 21 linux windows authentication single-sign-on
我们的软件开发公司同时使用 Windows 和 Linux 服务器。
此设置的摩擦点之一是我们没有单点登录解决方案。我们更像是一家 Microsoft 商店而不是 Linux 商店,我们希望针对 AD 进行身份验证。
我在网上阅读了几篇文章,我明白这是可能的。
我们目前在 Linux 上使用以下需要身份验证的服务:
- git 服务器(通过 SSH)
- Sendmail
- 当前使用 .htaccess 文件的 Apache Web 服务器。
- SAMBA 文件共享
我想知道这种设置有多实用?它真的有效还是容易出错?
Jas*_*Tan 12
它并不难,而且非常实用。
我们有数百台使用 AD 身份验证的双启动台式机以及许多使用 AD 身份验证的服务器,这些服务器使 Windows 客户端能够在没有用户明确身份验证的情况下使用其 samba 共享。
SF 上还有另一篇关于你需要做什么的文章。
基本上你需要配置 kerberos、winbind、nss 和 pam。
然后你做一个kinit和一个net ads join和你的。
如果需要,您可以将 pam 配置为使用多种方法进行身份验证,因此如果一种方法不起作用,它将退回到下一种方法。
我们通常使用文件、winbindd 和 ldap 来为 Windows 服务器提供文件共享服务。
如果可能的话,我会使用 LDAP 获取帐户信息,并严格使用 windbind 进行身份验证,但我相信如果需要,您可以在我认为 /etc/ldap.conf 中映射属性。如果您最终使用 winbindd 获取帐户信息,则可以使用 RID(散列方法)生成 uids/gids,但也可以使用其他方法。我们在一个大型文件服务器上使用了 RID,这真的很痛苦,所以如果可能的话,我会尝试探索其他选项之一。在我们的例子中,所有 AD 用户和组都由上游 IDM 系统反映在 LDAP 中,因此我们使用 LDAP 获取较新服务器上的帐户信息,而使用 winbind 纯粹用于身份验证。
使用 Likely Open 进行身份验证非常简单。http://www.likewise.com/products/likewise_open/index.php
由于 Likely Open,几乎我的整个 Linux 基础架构都具有集中的身份验证和用户管理。安装和实施非常简单。我不可能说得足够好。
需要注意的是,UID 和 GID 是根据散列函数分配的,因此它们在整个基础架构中是相同的,因此 NFS 挂载工作完美。