当使用Windows AD对Linux服务器上的用户进行身份validation时,使用Winbind和“join域”只需通过Kerberos进行身份validation并在LDAP中查找UID,GID,主目录等,是否有优势?
是的,Winbind自动在Active Directory中设置对象。 我已经尝试设置Kerberos手动validationAD,这是可怕的。 Windows命令行上的许多隐含命令以及AD Unix扩展都是必需的。 我从来没有得到它的工作,并且在Windows 2012之后,AD的扩展名已被弃用。
最近,realmd将Linux服务器更容易地集成到AD中。 它在本地设置SSSD和Kerberos,并在AD中创build所有必需的对象。 我用它来将Ubuntu,CentOS和Fedora集成到一个AD域中,它运行得非常好。 CentOS和Fedora是无缝的,Ubuntu在所有必要的configuration步骤被解决之后运行良好。
realmd: https ://freedesktop.org/software/realmd/
您仍然需要查询您的AD是否具有Kerberos的相应unix属性。 Kerberos会为您提供SSO(如果您使用相同的凭据login到您的Linux服务器,就像loginWindows工作站一样)。
至less在Windows工作站上,如果您将其与Windows上可用的SSH代理进行比较,您会发现该平台上的SSH代理不会使用私钥执行特别安全的事情(例如,在空闲时间后将其删除,或当屏幕locking时等)
Active Directory默认不允许匿名LDAP绑定。 将主机join域会使主机“可信”,因此可以使用自己的凭据访问域资源(如LDAP)。
如果您允许在AD中进行匿名绑定,这并不会转化为很多。