Интеграция Debian 6.0 AD
Я рекомендовал бы использовать sssd. Это - стандартный пакет в Debian, сжимают, и делает жизнь намного легче. При установке sssd он должен спросить Вас, какие методы аутентификации должны использоваться. Сделайте свой выбор там, и nsswitch.conf и pam.d сценарии будут автоматически обновлены. У Вас должно будет быть несколько деталей о Вашем домене AD под рукой, но затем, необходимо знать их так или иначе (например, какой DC использовать и каково kerberos имя области, и т.д.).
Верьте мне, я исследовал это много (и некоторые вопросы, которые задают в этом отношении на этом сайте, от меня), и sssd является ответом. Это даже работает приятно на ноутбуки, поскольку учетные данные кэшируются, и можно определить характеристики кэша.
Вот наш sssd.conf файл с несколькими комментариями:
# SSSD configuration generated using /usr/lib/sssd/generate-config
[sssd]
config_file_version = 2
reconnection_retries = 3
sbus_timeout = 30
services = nss, pam
domains = your.domain
[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
debug_level = 8
[pam]
reconnection_retries = 3
debug_level = 8
[domain/<your.domain>]
; Using enumerate = true leads to high load and slow response
enumerate = false
cache_credentials = true
#entry_cache_timeout = 60
id_provider = ldap
auth_provider = krb5
chpass_provider = krb5
#access_provider = ldap
ldap_uri = ldap://you.domain.controller
ldap_search_base = CN=Users,DC=your,DC=domain
ldap_tls_reqcert = demand
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt
ldap_default_bind_dn = cn=LDAPsearch,CN=Users,dc=your,dc=domain
ldap_default_authtok_type = password
ldap_default_authtok = <password for LDAPsearch>
ldap_pwd_policy = none
ldap_user_object_class = user
ldap_group_object_class = group
ldap_user_home_directory = unixHomeDirectory
krb5_kdcip = your.domain.controller
krb5_realm = <kerberos realm name>
krb5_changepw_principle = kadmin/changepw
krb5_auth_timeout = 15
Это основано на использовании сервисов UNIX в Windows Server 2008 (который является теперь неотъемлемой частью его, используемый, чтобы быть дополнением в 2k3 и ранее).
В различии к другим системам LDAP AD нужна аутентифицируемая сессия, прежде чем любые данные смогут быть получены. Мы создали специального пользователя под названием LDAPsearch для упрощения этого, но он может, вероятно, также быть сделан с фактическим пользователем домена.
При конфигурировании пользователей необходимо будет настроить их сервисные детали UNIX (корневой каталог, идентификатор пользователя и членство основной группы), но это очень просто.
Очевидно, можно использовать другую поисковую основу, и можно также добавить фильтры, чтобы гарантировать, что пользователи являются членами конкретных групп и т.д. Просто прочитайте страницу справочника для sssd.
Смотрите на Аналогично Открытый. Намного менее необходимое слоняние без дела, хотя имея эмулированный реестр окон не является точно моей идеей хорошего времени. Но, более поздние версии стали довольно твердыми, это достойное внимания.
Аналогично популярно, но я использовал Centrify Express для всех моих полей Linux в моей лаборатории работы в последнее время, и это было большим. Это идет с их собственной версией Samba, и получение его настроило, простое как установка об/мин (удостоверьтесь, что Вы читаете PDF хотя).
SSSD может быть ответом, хотя я еще не использовал его, таким образом, я не знаю. То, что я использовал, является winbind от samba3x, и это работало довольно хорошо. Проблема с конфигурированием kerberos и ldap непосредственно, для меня, по крайней мере, состоит в том, что затем необходимо заделать UID/GID и корневой каталог для всех существующих пользователей и поддержать два мира данных в AD/LDAP, который не походил на хорошее использование времени. winbind подвергнет собственные AD группы, повторно введет его учетную запись машины в kerberos и т.д. Единственный недостаток - то, что это настаивает на 15 символах или меньшем количестве имен хостов для поддержания некоторого странного вида netbios совместимости, что я не убежден, на самом деле существует или больше имеет значение для чего-либо в окнах и каждом однажды, и некоторое время демон втиснут и должен быть перезапущен, который требует работы доступ OOB. Объединение с pam_mkhomedir и pam_access так учетные записи получает автозаполненный homedirs, и можно ограничить, у кого есть доступ, к которым, хостам если Вы должны. Сообщите, что, в то время как имена пользователей и группы с пробелами в них работают в удивительном количестве мест, они повреждают некоторые инструменты, такие как pam_access access.conf не работающий с группами с пробелами в них.
В этом потоке был подобный вопрос, и OP получил вещи, работающие с winbind сделать имя пользователя и поиски UID, и pam_krb5 для аутентификации по паролю. У меня есть несколько серверов сжатия, выполняющих тот путь теперь.
Все необходимые части находятся в Debian. Никакое третье лицо или non-security-updated репозитории не требуются.