我有大约50台运行RHEL和CentOS的服务器,都使用本地authentication。 我们将在一个单位的控制下最终完成这些任务,并且我们在这些系统中拥有大量的本地账户。 我不确定我是否想从现有Active Directory的LDAP中进行身份validation,或者使用类似CentOS Directory Server的方式,但是无论哪种方式。我可以将中央帐户映射到这些系统上的不同本地帐户吗? 我真的不想担心改变任何现有的权限或任何东西。
假设我在3个不同的系统上有joeuser1,并且他有一个不同的UID,他的组每个都有一个不同的GID。 有一种方法可以将它们与中央身份validation结合在一起吗?
如果您决定在整个组织中同步uids / gids,那么这样做会非常好,整个维护工作将变得更加容易。
这可以通过一种相对无痛的方式来实现:
find /path/to/what/has/to/be/preserved -printf "chown -c %u:%g \"%h/%f\"\n" > preserve 笔记:
大多数身份validation系统使用UID和GID来映射用户。 所以如果他们要在多个地方出现,他们是相配的。 有一个中央目录服务的目的是为了避免多个位置。
UID重新映射是在小型站点上不太痛苦的事情之一,如果你正在处理更大的站点,那么它就成为强制性的,因为奖励(避免多个地方来pipe理事物)对)。
是的你可以。 configuration非常简单,而且相当不存在问题(只要保持时钟同步!)。
这样做的说明在RHEL部署指南中。
如果您有AD,我build议您使用它,因为我相信将Linux同步到AD可能比将Windows同步到AD之外更容易。
我推荐了这个产品几十次,但它完全救了我。 它被称为“ 同样开放” ( Openwise) ,它是免费且开放的源代码,它使您的机器能够对Active Directory进行身份validation。
UID / GID是散列,这使得它们在整个基础架构中是通用的。 通过实施,我几乎统一了我公司的所有authentication机制。 Shell访问,apacheauthentication,samba等等。而且由于我使用的是Active Directory,所有可以使用LDAP的authentication都可以对其进行authentication,所以现在我的用户帐户在机器,桌面,内部jabber服务器上是相同的,我们的SSL VPN集中器等等
我不能推荐它。