Пользователь Linux и управление разрешением в AD среде

Есть два основных метода, о которых я знаю -

Метод первый: Microsoft Управление идентификацией для UNIX - Это позволяет вам открывать ActiveDirectory как сервер NIS.
Это работает практически с любыми вариантами * NIX (все они поддерживают NIS) и имеет все преимущества (и недостатки) NIS. Он также официально поддерживается Microsoft, а это значит, что вам есть к кому обратиться, если что-то сломается.

Метод второй: pam_ldap / nss_ldap (или аналогичные, более новые системы).
Это работает с любым современным вариантом * NIX, способным аутентифицироваться по каталогам LDAP, и в наши дни может быть включен по умолчанию в Ubuntu и CentOS. Он немного более надежен / современен, чем хакерская программа в стиле NIS в Method One, но с меньшей вероятностью будет официально поддерживаться Microsoft.

Оба эти метода требуют, чтобы вы расширили пользователей и группы AD до пользователей и групп POSIX соответственно, чтобы в ваших системах * NIX были пригодные для использования POSIX UID и GID - Microsoft предоставляет эту возможность в Active Directory.
Дополнительным преимуществом второго метода, описанного выше, является то, что вы можете дополнительно расширить количество пользователей, чтобы вы могли использовать патч OpenSSH LDAP Public Key , который позволяет хранить ключи SSH в LDAP и устраняет задачу синхронизации authorized_keys файлов в вашей сети.

Из того, что я здесь читаю, вы хотите, чтобы все другие типичные для Linux вещи хранились в типичном для Linux стиле, а членство в группах просто исходило от AD?

Большинство из них примеры, которые вы можете найти, будут говорить о выполнении извлечения из AD / LDAP (возможно, Kerberos auth и LDAP для всех пользователей), похоже, вам просто нужен LDAP для групповых вещей. Если я ошибаюсь, вам также нужно проделать кое-что с PAM.

В зависимости от того, какая именно версия (она была изменена с CentOS / RHEL между версиями 5 и 6), вы можете использовать «nss_ldap» или «sssd» для этот. sssd новее. Трудно сказать, что более гибко, поскольку они кажутся гибкими по-разному. sssd кажется более гибким в настройке отдельных частей для получения из определенных источников, в то время как nss_ldap кажется более гибким в отношении используемой схемы LDAP. Вам потребуются установленные соответствующие пакеты. sssd-client , sssd-tools , sssd , libnss-sss , libnss-ldap и / или nss_ldap . (аутентификационный материал - pam_ldap или sssd)

В группах AD должен быть какой-то уникальный числовой идентификатор. По сути, вам нужно получить полное определение группы из AD через LDAP, а не только членство в группе (полное определение группы - это в основном имя, уникальный числовой идентификатор и членство). Возможно, этого удастся избежать с помощью sssd и настроить его для поиска идентификаторов групп в файлах и членства в группах из LDAP. На самом деле правильнее всего расширить схему AD соответствующими расширениями UNIX, чтобы в ней были данные пользователя / группы RFC2307 или RFC2307bis.

В /etc/nsswitch.conf вам понадобится group: files ldap или группа: файлы sss . Вы можете поместить «файлы» вторыми, а не первыми.

nss_ldap («ldap» в nsswitch.conf) настраивается через /etc/ldap.conf и задокументировано в пакете nss_ldap. Вам нужно будет установить uri, binddn, bindpw, nss_base_group, pam_member_attribute, nss_map_objectclass group, nss_map_attribute.

sssd настраивается через /etc/sssd/sssd.conf. Сконцентрируйтесь на материалах nss и id_provider, а не на материалах pam и auth_provider. Прочтите справочные страницы sssd.conf, sssd-ldap и sssd. Вам нужно будет настроить «домен» и настроить «ldap_group» добавляю его вместе с базовым типом id_provider и ldap_uri.

Примечание: в настоящее время я запускаю как nss_ldap, так и sssd в среде OpenLDAP. Прошло много лет с тех пор, как я использовал nss_ldap / pam_ldap в среде AD.

Возможно, стоит также изучить возможности Samba. Обычно он используется d для общего доступа к файлам / принтерам, но параметры входа в систему и контроллеры домена можно настроить так, как вам нужно.

Взгляните на Likewise Open (или теперь называемый PowerBroker Identity Services Open Edition) . Я использовал Likewise open в предыдущей работе и отлично работал с Samba и нашими разработчиками.