我有多个CENTOS服务器,当前所有的服务器都是通过本地/etc/passwd进行用户帐户控制,并拥有本地主文件夹等。
这使得当用户上船休假等等,因为我必须login到每个服务器来控制用户,这是一个痛苦。 我们目前有一个2008年的AD域,并希望利用它来启用SSO (跨所有服务器的单点login)。
我想只允许特定的用户访问login到Linux服务器,并希望能够维护本地系统帐户等在Linux的盒子。 用户目前在linux和AD中都有相同的firstname.lastname用户名。
我已经find了许多不同的指南,但似乎每个人都有不同的做法,似乎没有一个工作得很好。
有人可以请我提供一个最新的指导,与2008年的工作很好(我应该指出,桑巴等现在2008年在最新版本的作品)
埃默里大学看起来很有希望:
在CentOS 5.5上运行的Kerberos,Single Sign On和LDAP授权。
不要忘记kinit和klist命令来testing你的CentOS盒子上的Kerberos密钥。
以下是有关使用LDAP的Active Directory身份validation的详细信息: http : //en.gentoo-wiki.com/wiki/Active_Directory_Authentication_using_LDAP
它是Gentoo Linux文档(WiKi)的一部分,但是所有Linux发行版的工具和机制都是一样的。 希望你能在这里find你大部分问题的答案。
我意识到这有点晚,但我是使用RADIUS身份validation的一个忠实粉丝。 正确configuration的用户仍然可以通过Puppet进行pipe理和pipe理(对我来说非常重要),但仍然使用来自AD的帐户信息。
我喜欢使用微软的RADIUS服务器 – NPS是一个免费的产品,可以很好的连接所有的单点login(我也用它来处理我的networking交换机和一些设备)。
如果你想这样做,请安装pam_radius模块(你可能需要查找它,但是有一个可用的RPM)。 你只需要更新两个或三个configuration文件,使其function正常(我也通过Puppet)。
在/ etc / raddb /服务器
<hostname>:port <password> 3:3
系统AUTH-AC
auth sufficient pam_unix.so ... auth sufficient pam_radius_auth.so ...