像许多人一样,我一直试图从Microsoft Active Directory + CIFS文件共享转移到自定义LDAP解决scheme+ NFSv4。 这里的所有工作站都运行Windows 7,到目前为止我已经设置了以下内容:
- pGina安装在每个工作站中,并login到我的自定义OpenLDAP服务器工作正常。 pGina的最新testing版甚至允许用户更改密码!
- 为Windows 7激活NFS后,我能够成功挂载NFS共享,虽然服务器把我当成nobody / nogroup而不是给我什么是我的!
现在,最近两天,最后一个项目已经成为一个令人头痛的问题,因为很难find最新的,全面的信息。 这是我收集的信息:
- 仅当您使用krb5或类似身份validation方法来挂载NFS共享时,才会使用idmapd.conf 。 这意味着你需要设置Kerberos ,而不是一个简单的任务。
- Windows需要一个身份映射服务来映射本地帐户到Unix帐户。 这里有一些非常好的信息,但我没有find任何人在互联网上设法做到这一点。 我发现一个用户有一个问题 ,但没有解决scheme(我担心它可能发生在我身上)。
- 在configurationidmapd以检索来自LDAP服务器的映射(umich_ldap翻译方法)时,似乎在Ubuntu 12.04的nfs-utils发行版中存在(仍然存在) 错误 。 这是非常重要的,因为它允许集中的帐户pipe理,完成这一切的全部要点之一。
现在,在深入研究Kerberos和Windows Identity Mapping并应用Ubuntu补丁程序并发现更多问题之前,我的问题是:
有没有人走过这条路,并成功地完成了这一成功? 我应该去另一个方向吗? 我在哪里可以find一些体面的,全面的材料呢?
谢谢。
我build议使用FreeIPA ,它是Active Directory中的Kerberos跨领域信任 。 这是如何工作的:
- 安装FreeIPA服务器作为Linux机器域控制器
- 创buildFreeIPA和AD( trust-add命令) 相关的testing说明之间的跨领域信任
- 在FreeIPA服务器或另一台FreeIPA客户机上configurationKerberos保护的NFS共享
- 在Windows或Linux机器上安装该共享
- 利润!
最近我正在玩这个游戏,并且能够在Windows Server 2012上安装一个Kerberos保护的NFS共享(在我安装了Unix扩展之后),并使用Kerberos和单点login。