各位下午好。我一直在仔细阅读各种关于让 Linux 系统使用 AD 进行身份验证的帖子,但没有看到任何接近我正在打击的东西。
这里有很多设置,所以请耐心等待。
首先,目标是让我们所有的 Linux 和 Unix 系统都针对 AD 进行身份验证。对于数百个系统,这不是可选的;用户帐户管理早已成为问题。
我们有几个 AD 实例:一个是“管理 AD”(“MAD”),所有系统管理员帐户都应该在其中。MAD 不信任其他域。所有其他域(“CAD”、“FAD”、“BAD”)都信任 MAD。大多数系统将与 CAD、FAD 或 BAD 相关联。只有内部系统才会与 MAD 相关联。
主要平台是 RHEL,我有 5、6 和 7 的混合物。5 不会很快消失,尽管它在不到一年的时间里就不再支持 RH,但我仍然需要获得人口共 5 个与 AD 集成。任何解决方案都需要跨 5、6 和 7 工作,因为我们不想支持多种做事方式。
我的主要选项(至少是我正在研究的选项)是 Winbind 和 SSSD。考虑到两者之间的选择,我更喜欢 SSSD,因为 Winbind “相当老”。另一个要求是“groups”和“id”从 AD 中生成信息,因为我们打算使用 openssh 的“AllowGroups”功能来限制对特定 AD 组的登录。
我遵循了每本手册、每一个方法、每一个指南,当它归结起来时,总有一件似乎没有被有用记录的小事情阻碍了我。
总的来说,我对 unix/linux 相当强大,但我对 AD、Kerberos 或 LDAP 不强。
出于实验目的,我从 ISO 的全新 RHEL7 安装开始(使用一些基本配置内容启动),在 KS 中没有设置身份验证位。
第一步:同步时间。完毕。
第 2 步:安装/激活oddjob。完毕。
步骤 3:确保目标系统有正向和反向 DNS 条目。完毕。到目前为止,我不能依靠后面的步骤来手动操作。我会应付的。
步骤 4:配置 Kerberos。/etc/krb5.conf …