我有一个64位的Ubuntu 11.04服务器,我正在设置,我想configuration它使用LDAP进行身份validation。 LDAP服务器碰巧是一个ActiveDirectory服务器,但我没有试图将机器绑定到域。
我是谷歌search,并find几套说明,但没有一个产生一个工作系统。 他们中的许多人也有不同的LDAP和PAM相关的安装列表,这使得我怀疑那里的指令已经被烧毁了。
任何人都可以指出我目前的Ubuntu版本有一套可靠的说明吗?
你要找的是LDAPauthentication。 它要求configurationPAM和NSS使用LDAP作为用户名和密码的来源。 几乎可以使用任何LDAP服务器。
你会遇到一个障碍是字段名称。 Linux被configuration为使用UNIX系统通常使用的字段,而不是Windows AD,因此您必须使用映射。
请参阅Ubuntu 11.10 Server Guide第6章第1.10部分和Ubuntu帮助站点上的ActiveDirectoryHowTo页面。 您将需要对AD服务器运行ldapsearch以获取要使用的字段名称,然后更新具有字段映射的文件。 在10.04中,该文件是/etc/ldap.conf 。
我发现这个页面在过去很有帮助: Scott Lowe:Linux-AD集成
我build议遵循Scott的指导并使用Kerberos身份validation(pam_krb5)。 这比LDAP绑定身份validation(pam_ldap)好一点,因为Kerberos可以为您提供单一login。 (例如,如果您login到同一个域上的Windows桌面并使用最新的PuTTY,则可以不必再次input密码就可以SSHlogin到启用了Kerberos的Unix / Linux服务器。
要正确使用Kerberos,您需要执行某种域连接,以便客户端知道它可以信任中心目录。 如果您真的不想join域,并且您不介意降低安全性,请调查krb5.conf的verify_ap_req_nofail选项。