Используя Active Directory как сервер LDAP для клиентов Linux
Вы задали подобный вопрос в прошлом месяце, и я предоставил инструкции относительно того, где пойти на веб-сайт HP для получения инструментов, Вам было нужно. Вот точные ссылки:
- Можно получить CPQLOCFG.EXE (как предложено sleske) здесь.
- Можно получить HPLOCFG.EXE (подобный инструмент) здесь.
- Можно получить демонстрационные XML-файлы и Perl locfg.pl утилита здесь.
Я предлагаю также просмотреть документацию на веб-сайте HP (в ссылке, предоставленной sleske), поскольку существует богатство доступной информации.
Спасибо за предложения. Как я упомянул в исходном сообщении, сервисы окон для Unix скоро будет EOL, но я нашел замену для любого, кого этому интересно.
В Windows Server 2008 R2 необходимо установить функцию "Subsystem for UNIX-based applications".
Во-вторых, под Ролями> Active Directory Domain Services необходимо установить "Управление идентификационными данными для Unix".
После того как они установлены, каждый пользователь будет иметь, имеют некоторые дополнительные атрибуты Unix :)
ldap, отображающийся для/etc/ldap.conf, следующие:
# RFC 2307 (AD) mappings
nss_map_objectclass posixAccount user
nss_map_objectclass shadowAccount user
nss_map_attribute uid sAMAccountName
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute shadowLastChange pwdLastSet
nss_map_objectclass posixGroup group
nss_map_attribute uniqueMember member
pam_login_attribute sAMAccountName
pam_filter objectclass=User
pam_password ad
Радости совместимости...
Аналогично Открытый работал на меня - довольно легкий установить и не требует никаких изменений в AD. Бесплатная версия дает Вам функциональность входа в систему. Если Вы платите за Версию для предприятия, Вы получаете Групповую политику и большое количество других вещей.
-
1@alharaka - Я просто использую Открытую версию. Я взял на Аналогично только недавно, поскольку я использовал виртуальное устройство Помощника менеджера VMware ESX Server. Так как полномочия для управления VMs установлены через AD в нашей системе, я должен был позволить штату входить в помощник Server с их AD логинами. Это работает хорошо на это. Насколько я могу сказать, что это использует LDAP и позволяет вход в систему, который является что OP, относительно которого попросили. Не может прокомментировать функции Версии для предприятия, но она походит на хорошо сохраняемый и зарегистрированный проект. – dunxd 19 October 2010 в 10:48
Вы могли бы хотеть прочитать документ Microsoft с помощью Windows Services для Unix ([W] SfU). Эта ссылка включает документацию об этом, по-видимому. Из ссылки:
Объем 2: Решения Используя Аутентификацию Kerberos (Конечное состояние 1 и 2). Описывает реализацию Конечного состояния 1 и 2 использующих различных технологических подхода. В Конечном состоянии 1, клиенты UNIX используют Active Directory Kerberos для аутентификации, но продолжают использовать существующее основанное на UNIX хранилище данных для авторизации. В Конечном состоянии 2, клиенты UNIX используют Active Directory Kerberos для аутентификации и Active Directory LDAP для авторизации.
Сообщите нам, работает ли это на Вас; я очень интересуюсь реализацией такой вещи для проектов Linux.
Вы могли бы попробовать http://www.quest.com/authentication-services/active-directory-for-unix.aspx (прежний Vintela).
У меня нет опыта в установке его самого, но мой предыдущий работодатель использовал это, и это работало очень хорошо над нашими рабочими станциями Linux.
Проверьте Centrify, который обеспечивает собственный агент для соединения непосредственно с AD на сотнях различных разновидностей UNIX или Linux (или OS X). Существует бесплатный продукт (Экспресс Centrify), который включает поддержку аутентификации для PAM, NSS и клиентов Kerberos. Кроме того, у них есть бесплатное приложение Windows для развертывания на и управления удаленно много серверов сразу.
Комплекты для платы включают групповую политику, управление доступом, авторизацию, управление привилегированного пользователя, создание отчетов, запись/аудит сеанса пользователя, шифрование/аутентификацию данных по проводу и многое другое.
Используемый в производстве на большом блоке UNIX Fortune 2000 и серверов Linux.
Corey - менеджер по продукции Centrify
-
1Мы на самом деле оцениваем Centrify в данный момент, и это очень хорошо. Работы безупречно. В этом экземпляре однако мне нужно чистое ldap решение. – sideh 19 October 2010 в 12:56