Аутентификация Active Directory с прокси LDAP
Создайте нового пользователя с useradd, затем установите passwd с passwd [user]. т.е.
useradd johndoe
passwd johndoe
Затем SSH, использующие johndoe, и затем, используют пользовательскую команду переключателя su - добираться для укоренения.
Отметьте тире. Это очень важно для установки среды как Вы, вероятно, хотят. Без тире я полагаю, что Вы закончили бы при подсказке под корнем, но должны будете использовать полные пути. Обычно синтаксис является su [пользователь], но значение по умолчанию является корнем, если это опущено.
Идеально Вы также использовали бы Sudo, но вышеупомянутое является более надлежащим, чем просто SSHing в под корнем. Это, вероятно, как упоминается в других ответах, которые Ваша sshd конфигурация запрещает корневому входу в систему.
Причина, которая запрещен корневой вход в систему, состоит в том, потому что удаленный корневой доступ может быть более высоким риском, чем необходимая мудрая безопасность. Используя вышеупомянутый метод необходимо было бы взломать два слоя для получения корневого доступа, в противоположность просто "наезду на парадную дверь".
Можно также посмотреть в/var/log/secure для наблюдения, почему пароль был отклонен.
Службы Active Directory облегченного доступа к каталогам кажутся именно тем, что вам нужно, но если вы хотите напрямую аутентифицироваться в AD, вы можете вместо этого просто сделать TCP-прокси обратно на свои серверы AD; HAProxy подойдет.
вместо этого вы можете просто сделать TCP-прокси обратно на свои серверы AD; HAProxy подойдет. вместо этого вы можете просто сделать TCP-прокси обратно на свои серверы AD; HAProxy подойдет.Возможно ли это?
Это и возможно, и обычное дело. Если вы ищете что-то вроде активный каталог прокси openldap вы найдете ряд полезных
Является ли термин «прокси» подходящим?
Это абсолютно правильный термин для использования.
Является ли сервер Microsoft AD обязательным или OpenLDAP справится с этой задачей?
Если ваши клиенты ожидают только сервера LDAP, тогда OpenLDAP будет все будет хорошо, особенно если вам нужен только доступ только для чтения.
У меня мало знаний об AD / LDAP, каково время обучения?
Не зная своего опыта, на этот вопрос сложно ответить. я обнаружите, что LDAP принципиально прост, но, увлекшись контроль доступа в OpenLDAP может потребовать небольшой работы.
Несколько подсказок, с чего начать?
Если все, что вам нужно сделать, это сделать сервер AD доступным в вашем локальная сеть, затем простой TCP-прокси или соответствующие правила iptables будет намного проще, чем полноценный прокси LDAP. Обратной стороной это то, что вам нужно будет выполнить любой контроль доступа на Со стороны Active Directory.
Если вы решите использовать OpenLDAP в качестве прокси:
Пошаговая установка и настройка OpenLDAP в качестве прокси для Active Directory , похоже, отвечает всем требованиям названия, но это не очень хорош в качестве руководства.
В документации Samba есть некоторые примечания по этому поводу.
Эта статья , которую я написал несколько лет назад, больше, чем вы хотите, но есть несколько примеров конфигурации.