Я осматривал сеть, пытающуюся найти способ аутентифицировать пользователей на Linux с учетной записью Пользователя домена в Windows 2012R2 Server. Путем я сделал, это в прошлом использует "Управление идентификационными данными для Unix" роль на сервере для получения настроек атрибутов Posix. Microsoft, однако, "удержала от использования" эту функцию на 2012R2 Сервер.
Кто-либо знает о другом способе аутентифицировать (централизованные) учетные записи Linux, не имея, который Posix приписывает в AD на Windows Server? Я пытаюсь следовать за hesling PDF и руководством Redhat для интеграции AD с Linux, но обеими статьями, опубликованными в прошлом году. по-видимому, используйте роль IMU на AD.
Я попробовал Centrify Express на этой неделе, но если я не пропускал что-то, я не смог управлять любым из атрибутов Posix для учетных записей Linux в AD с нею.
В итоге я использовал сквозную аутентификацию через OpenLDAP и SASL. Хотя FreeIPA выглядит неплохо.
Я считаю, что FreeIPA был создан с нуля для подключения UNIX / Linux к AD DC (Microsoft) и аутентификации пользователей.
«Создавайте взаимное доверие с другими удостоверениями. Системы управления, такие как Microsoft Active Directory »
Удачи! :)
IMU от Microsoft не требуется для управления атрибутами Unix, у вас просто нет оснастки и отдельной вкладки для управления атрибутами Unix. Атрибуты rfc2307 / posix полностью поддерживаются в схеме AD. Вместо этого вы можете управлять ими с помощью ADSI Edit, AD Users & Groups (View -> Advanced, затем используйте вкладку Attribute Editor для объектов), LDAP, PowerShell и т. Д.Пользователь AD с uidNumber, gidNumber, loginShell и unixHomeDirectory в своей учетной записи является пользователем Unix, а клиенты Linux могут использовать AD в качестве службы имен и для аутентификации.
Как каждый клиент настроен на использование AD, может варьироваться. Новые клиенты SSSD Linux могут быть полноценными клиентами домена AD с использованием Kerberos. Или, если LDAP включен в AD DC, клиенты Linux могут быть традиционными клиентами LDAP.