Windows 上的单点登录和 NFS 权限

Question

和许多人一样，我一直在尝试从 Microsoft Active Directory + CIFS 文件共享转向自定义 LDAP 解决方案 + NFSv4。这里的所有工作站都运行 Windows 7，到目前为止我已经设置了以下内容：

• pGina安装在每个工作站中，并且登录到我的自定义 OpenLDAP 服务器工作正常。pGina 的最新测试版甚至允许用户更改密码！
• 激活 Windows 7 的 NFS 后，我能够成功挂载 NFS 共享，尽管服务器将我视为无人/无组，而不是给我应有的东西！

现在，最后一项是过去两天令人头疼的一大问题，因为很难找到最新、全面的信息。这是我收集的信息：

• 仅当您使用krb5或类似身份验证方法挂载 NFS 共享时，才会使用idmapd.conf 。这意味着您需要设置Kerberos，这不是一项简单的任务。
• Windows 需要身份映射服务将本地帐户映射到 Unix 帐户。这里有一些关于此的非常好的信息，但我未能在互联网上找到任何人设法做到这一点。我发现一个用户遇到了问题，但没有解决方案（我担心这可能会发生在我身上）。
• 在配置idmapd以从 LDAP 服务器检索映射时（umich_ldap 转换方法）， Ubuntu 12.04 的 nfs-utils 发行版似乎（仍然？）存在错误。这非常重要，因为它允许集中帐户管理，这是完成所有这一切的要点之一。

现在，在我深入研究 Kerberos 和 Windows 身份映射并应用 Ubuntu 补丁并发现更多问题之前，我的问题是：
是否有人走这条路并成功完成了这一任务？我应该转向另一个方向吗？我在哪里可以找到关于这一切的一些体面、详尽的材料？

谢谢。

Answer 1

我建议使用FreeIPA，它是与 Active Directory 的Kerberos 跨领域信任。这是如何运作的：

1. 安装 FreeIPA 服务器作为 Linux 机器的域控制器
2. 在FreeIPA和AD之间创建跨领域信任（trust-add命令）-相关测试说明
3. 在 FreeIPA 服务器或另一台作为 FreeIPA 客户端的计算机上配置受 Kerberos 保护的 NFS 共享
4. 在 Windows 或 Linux 计算机中挂载该共享
5. 利润！

我最近正在研究这个问题，并且能够使用 Kerberos 和单点登录将受 Kerberos 保护的 NFS 共享挂载到 Windows Server 2012（在安装了 Unix 扩展之后）。