实现以下目标最明显的方式是什么:该站点有一个AD工作基础架构,并且某些部分的基础架构与GNU / Linux机器紧密耦合,其中来自AD OU ou=linux-users,dc=example,dc=com应该能够使用他们的AD证书login到基础设施的Linux部分,但是不需要在Linux机器的PAM堆栈中使用DC,也就是说应该有某种同步加上POSIX属性(uid,gid,homedir,password)从AD到slapd。 Linux机器上的slapd是OpenLDAP,AD的架构来自Windows 2003,没有POSIX属性。
Ldap同步连接器(LSC)可用于build立从AD到OpenLDAP服务器的连续同步,同时添加您喜欢的额外属性。
但是,除非您设置OpenLDAP将BIND请求转发到AD服务器,否则这将不会直接允许使用AD的凭据,但是您依赖于AD基础设施。
依靠AD中的凭据是困难的,因为您需要在其他地方以明文forms拥有凭据,或者依赖使用AD进行绑定,或设置密码同步。 检查Active Directory密码同步选项 。
在该页面上没有描述的一个选项是从AD服务器导出散列密码的列表,但这是一次性操作,而不是连续同步。
是否有一个特别的原因,你不想在PAM堆栈中的AD服务器? 这里最好的解决scheme是将POSIX / RFC2307属性添加到AD用户,并在AD服务器上指向pam_ldap / nss_ldap(或nss_ldapd)。
如果您的networking安全/负载问题阻止您直接查询AD,则可以使用OpenLDAP的代理/cachingfunction或部署有限的AD从站来为Linux主机提供服务。
我build议不要“增加”账户 – 这可以通过一些非常肮脏的黑客来完成,但根据我的经验,信任生产环境太脆弱了。 它也打破了“一个权威来源”的范例:如果AD是你的权威账户商店,POSIX属性应该在那里添加和pipe理。