Аутентификация входа в систему Linux через Active Directory (AD) без присоединения компьютера Linux к домену AD
У меня есть обычная Active Directory Infra, развернутая на виртуальных машинах Windows в Azure. Нет интеграции этого соглашения AD с Azure AD.
Я хочу, чтобы виртуальные машины Linux в Azure с SLES 12 SP3 проходили аутентификацию в нашей стандартной настройке AD, без необходимости присоединяться к домену AD вообще.
Процесс должен происходить. примерно так:
- Пока пользователь входит в виртуальную машину SLES12SP3, не присоединенную к домену, для проверки учетных данных должна выполняться аутентификация в нашем обычном AD.
- В случае успеха проверьте сопоставление с локальным пользователем с именем "имя @ домен".
- Если локальный пользователь не существует, но аутентифицирован успешно через нашу AD, создает нового пользователя и домашний каталог
. Я пробовал аутентификацию модуля PAM с KRB5 и SSSD, но безуспешно для достижения желаемого сценария. Я подозреваю, что мне не хватает каких-либо настроек в файлах конфигурации для KRB5 или SSSD, или, может быть, этот сценарий не может быть реализован?
Пожалуйста, помогите. Заранее спасибо.
Раньше существовала система управления идентификацией для Unix в AD, которая позволяла указывать домашние каталоги, оболочки пользователей и другие атрибуты Posix и позволяла пользователям аутентифицироваться из Linux через AD. Это больше не . Начиная с Server 2008 эта часть была устарела. Можно попробовать использовать ADSI Edit для установки значений вручную, но запись в свободной форме может привести к беспорядку, если вы не будете осторожны. Я не знаю, есть ли способ отследить Unix UID/GID разумным способом, чтобы в итоге не дублировать их. Я закончил с SASL Passthrough . Вы должны найти способ управлять им, но в конце концов вы просите у AD только пароль и ничего больше. Все атрибуты Posix приходят из OpenLDAP. Запуск основной его части на Linux предлагает множество инструментов для автоматизации управления каталогом.