我们公司主要运行Linux服务器,但主要是Windows客户端。
我正在寻找一个解决scheme,允许我们的所有Web应用程序都有一个login门户(一旦你login了,你不必login到下一个应用程序)加上有相同的用户名和密码服务器login和电子邮件login。
另一个问题是权限。 一个想法设置将允许我给不同的资源不同的访问权限。 因此,例如,拥有pipe理权限的源代码pipe理员不能在Linux服务器上以root身份login。
目前所有的Linux服务器上的root密码是相同的,我们不使用SSH的公共密钥(我知道我应该这样做,我正在研究)
我知道Exchange需要使用ActiveDirectory,所以我想知道是否有一个解决scheme,将允许我在ActiveDirectory的顶部添加所有这些function。
我已经做了一些研究, 这可能会涉及我们的Web应用程序的门户网站。 但是我仍然在其他方面亏损。
我知道这是要求很多,我只是想感受一下那里的东西。
我认为你在那里是正确的。 我们有一个非常相似的设置,虽然我们也有一些公平的Windows服务器。 我们的用户群是70%的Linux(主要是Debian)和30%的MS Windows。
我们使用Active Directory(几乎)所有的东西。 ADS具有内置的LDAP接口,并且在Linux机器上有用于用户authentication的客户端库(您将需要Windows的Unix服务)。
您可以将“应用程序”实体添加到Active Directory中,然后在其中定义特定的安全组。 然后configuration各种客户端使用这些组来获得对访问各种应用程序和门户的非常好的控制。 (使用Windows域控制器上的“AD用户和组”插件来执行此操作)。
您可以使用上面的Linux库(最重要的是libnss-ldap和pam_ldap),并对PAMconfiguration进行一些更改,以便在Linux服务器上启用Windows用户帐户(也可以通过Kerberos进行链接,这将允许Linux用户更新其AD密码和他们的本地密码在同一时间)。
如果你需要更多的信息,请告诉我,我可以转发一大堆示例文件来说明如何完成这项工作。 为我们工作。
CAS是一个很好的解决scheme