授权的Linux服务器是否需要计算机帐户？

我对使用Active Directory（AD）和Kerberos的Linux服务器是否需要创build计算机帐户感到困惑。
作为一台机器的Linux服务器是否需要join和AD域，并且这样做有一个计算机帐户有AD的authentication/授权服务？

这里有一些要求：

能够使用来自Linux服务器的AD进行基于用户和组成员的身份validation。
能够将本地Linux UID / GID号码映射到AD用户和组名（现在我们使用的是非AD LDAP服务器，并且我们为用户和组帐户保留了UID / GID号码，理想情况下，我想继续这种做法）。
能够将Linux Sudoer权限映射到AD组。
使用开源或社区工具/插件像SSSD，而不是像Centrify这样的付费商业产品。

我很担心在基于私有云的服务器上创build/删除大量的Linux计算机账户的负担，这些服务器可能不会那么长时间; 但我希望使用AD的中央用户帐户存储的好处。

注：我在2008R2function级别使用RHEL和Centos 6-7 Linux服务器和Windows Server 2012 AD。

使用SSSD取决于configuration。使用id_provider = ad yes，您需要使用realmdjoin域。但是，如果您不想join域，则无法阻止您使用id_provider = ldap。如果您自己configurationSID，即使ID映射也可以工作。

是的，他们需要电脑帐户。这些是通过“join”域的行为而创build的。

（Think Centrify，Powerbroker等，虽然这里的具体产品build议是没有限制的。）

无论您是计算机还是用户，Active Directory在任何情况下都不允许您进行身份validation。

编辑：只是想澄清 – 如果你打算authentication服务器本身，那么他们需要计算机帐户。如果您只想validationlogin到这些服务器的用户，那么理论上您只能拥有用户帐户（如果您的PAM的configuration方式只允许提供通过AD的用户名和密码的用户）login。