Аутентифицируйте CentOS против AD без Samba/Winbind

Прежде всего не забывайте устанавливать компонент окон "Identity Management for UNIX" под "Active Directory Services" в окне "Add/Remove Windows Components".

DC Active Directory предоставит Вас 2 сервиса:

1. Пользовательское перечисление (dir/и т.д. UID/GID/дома) через LDAP
2. Аутентификация пользователя через Kerberos

На серверах CentOS необходимо будет настроить перечисление пользователя LDAP через/etc/ldap.conf, конфигурация Kerberos входит в/etc/krb5.conf и использовать пользователей, необходимо обновить/etc/nsswitch.conf.

Для включения аутентификации Kerberos необходимо будет отредактировать/etc/pam.d/system-auth файл.

Несколько gottachs:

• Удостоверьтесь, что Ваше время синхронизируется из надежного источника на DC и клиентах
• Удостоверьтесь, что у Вас есть надлежащее разрешение и заднее разрешение
• Должны руководства показывать Вам, как связать с DC с пользователем/передачей, более безопасный путь будет использовать билет Kerberos для аутентификации DC (Для пользовательского перечисления/аутентификации)
• Это не будет, вероятно, работать над первым выстрелом, уезжать, пользователь root вошел в систему максимально долго для обеспечения быстрых исправлений, не будучи должен войти в режим Rescue (после блокирования себя из машины).

Быстрый поиск придумал следующее руководство. После того, как это работает, я попробовал бы привязку Kerberos к DC. Руководство для RHEL5, но будет работать все равно над CentOS5

Если Вашей единственной проблемой с winbind является несоответствие UID среди серверов, то удостоверьтесь, что winbind использует Active Directory RID для генерации его UIDs, и они будут последовательны. Этот более ранний вопрос должен иметь достаточно деталей для запущения Вас. Мне никогда еще не было нужно любое из расширений Unix для AD, и связанный метод работает на меня на нескольких дюжинах отдельных серверов, все монтирующие, что тот же центральный NFS совместно использует без несоответствий.