服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 在没有Samba / Winbind的情况下对CentOS进行身份validation
Intereting Posts
Exim4:无法将LDAP服务器连接到“ldap_require_cert = hard” 间歇recursion/迭代DNS查询失败 RHEL5 – 绑定不返回IPv6logging nginx:如何禁止用户掉线(不403) Nginx反向代理不工作 – Tomcat 使用代理转发function时,首次自动接受SSH指纹? Sendmail:DSN:服务不可用 我应该购买哪种服务器configuration? 为什么这个puppet节点定义不能在它匹配的主机名上运行? 端口重路由替代IPTables? Nginx的子目录Drupal +其他应用程序 如何在Linux上以普通用户的身份在端口80上运行服务器? 使用tcp扫描扫描单个机器的所有端口的最快方法是什么? NIS:哪些机制隐藏了无特权用户的shadow.byname? dynamic虚拟主机问题

在没有Samba / Winbind的情况下对CentOS进行身份validation

我们目前有我们的CentOS 5.5服务器使用Samba和Winbind对我们的Active Directory环境(Windows 2003 R2)进行身份validation。 它为我们提供了很好的服务,但我们需要更强大的function,并且有人build议使用LDAP和Kerberos直接对AD进行身份validation。 推动背后的主要动机是我们有不同的UID / GID,其中一个服务器上的单个用户(bob)将具有UID 501,另一个531,并且影响SMB安装目录的权限。

这是我的理解(作为一个Linux新手),可以读取AD中的Unix属性,从而在整个环境中集中和标准化我们的UID / GID? 我希望这个环境尽可能稳定,并且不要认为Samba / Winbind解决scheme的扩展性很好,所以如果我可以通过将AD指定为一个理想的LDAP服务器来实现这一点。

任何build议,非常感谢,并会阻止我拉我的头发进一步。

首先,不要忘记在“添加/删除Windows组件”窗口中的“Active Directory Services”下安装“Identity Management for UNIX”窗口组件。

Active Directory DC将为您提供2项服务:

  1. 用户枚举(UID / GID / Home Dir /等)通过LDAP
  2. 通过Kerberos的用户身份validation

在CentOS服务器上,你将需要通过/etc/ldap.confconfigurationLDAP用户枚举,你的Kerberosconfiguration进入/etc/krb5.conf,为了使用用户,你需要更新/etc/nsswitch.conf。

要启用Kerberos身份validation,您需要编辑/etc/pam.d/system-auth文件。

几个gottachs:

  • 确保您的时间从可靠的来源,DC和客户端同步
  • 确保你有正确的解决和后面的解决
  • 必须指南将告诉你如何用用户/密码绑定到DC,更安全的方式是使用Kerberos票证进行DCauthentication(用于用户枚举/authentication)
  • 它可能不会在第一个镜头中工作,让root用户尽可能长时间地login,以便在不需要进入Rescue模式(在阻止自己进入机器之后)的情况下进行快速修复。

快速search出现了以下指南 。 之后,我会尝试Kerberos绑定到DC。 这个指南是针对RHEL5的,但在CentOS5上也是一样的

如果winbind唯一的问题是服务器之间的UID不匹配,那么确保winbind使用Active Directory RID来生成它的UID,并且它们将是一致的。 这个早期的问题应该有足够的细节让你开始。 我从来没有需要任何AD的Unix扩展,链接的方法是在几十个独立的服务器上工作,所有的服务器都安装相同的中央NFS共享,没有不匹配。