Сохраните AD группу синхронизировавшей в OpenLDAP с увеличением учетной записи POSIX
Прежде чем я рекурсивно буду смолить каталог, я хочу смочь удалить все исполняемые файлы.
По моему скромному мнению, короткий ответ - то, что существует номер 100%-й надежный способ сделать это. В зависимости от одних только полномочий может пропустить или включать вещи, которые Вы не хотите. В зависимости от имен файлов не будет работать. Даже в зависимости от вывода команды файла, вероятно, не хорошая идея, я видел, что это отсутствовать - несколько раз определяет вещи.
Коннектор синхронизации Ldap (LSC) может использоваться для установки непрерывной синхронизации с AD на сервер OpenLDAP, при добавлении дополнительных атрибутов, сгенерированных однако, Вам нравится.
Однако это непосредственно не позволит использование учетных данных AD, если Вы не создадите OpenLDAP для передачи запросов BIND к AD серверам..., но затем Вы зависите от AD инфраструктуры, являющейся доступным.
Доверие учетным данным в AD жестко, потому что Вы или должны иметь учетные данные в открытом тексте в другом месте или зависеть от использования AD для, связывает, или настроенная синхронизация пароля. Проверьте опции синхронизации Пароля Active Directory.
Одна опция, не описанная на той странице, экспортирует список хешированных паролей с AD сервера, но это - одноразовая операция, не непрерывная синхронизация.
Существует ли конкретная причина, Вы не хотите AD серверы в стеке PAM? Лучшее решение здесь состоит в том, чтобы добавить, что POSIX/RFC2307 приписывает Вашим AD пользователям и точке pam_ldap/nss_ldap (или nss_ldapd) в AD серверах.
Если у Вас есть сетевая безопасность / проблемы загрузки, которые препятствуют тому, чтобы Вы запросили AD непосредственно, можно использовать возможности прокси/кэша OpenLDAP или развернуть ограниченные AD ведомые устройства для обслуживания хостов Linux.
Я отговорил бы от того, что "увеличил" учетные записи - это может быть сделано посредством некоторых довольно грязных взломов, но по моему опыту это слишком хрупко для доверия продуктивной среде. Это также повреждает "один авторитетный источник" парадигма: Если AD является Вашим авторитетным хранилищем учетной записи, атрибуты POSIX должны добавляться и управляться там.
-
1Причина I can' t используют AD серверы существует то, что рассматриваемые машины Linux в значительной степени сам включены и не должны зависеть от AD инфраструктуры, чтобы быть доступными, другая причина состоит в том, что пользователи от другого недоверяемого домена должны смочь к логотипу на также. Хосты Linux отчасти совместно используются двумя orgs без общей инфраструктуры на месте. – pfo 27 January 2010 в 01:35