Używamy serwera Windows i Linux w naszej firmie zajmującej się tworzeniem oprogramowania.
Jednym z punktów tarcia w tej konfiguracji jest to, że nie mamy rozwiązania jednokrotnego logowania. Będąc bardziej sklepem Microsoft niż Linuxem, chcemy uwierzytelnić się w stosunku do AD.
Przeczytałem kilka artykułów online i rozumiem, że jest to możliwe.
Obecnie korzystamy z następujących usług w Linuksie, które wymagają uwierzytelnienia:
- serwer git (przez SSH)
- Sendmail
- serwer WWW Apache obecnie używa plików .htaccess.
- Udziały plików SAMBA
Chcę wiedzieć, jak praktyczna jest taka konfiguracja? Czy to naprawdę działa, czy jest podatne na błędy?
linux
windows
authentication
single-sign-on
Philip Fourie
źródło
źródło
Odpowiedzi:
To nie jest trudne i jest całkowicie praktyczne.
Mamy kilkaset komputerów stacjonarnych z podwójnym uruchomieniem, które korzystają z uwierzytelniania AD, a także wiele serwerów, które korzystają z uwierzytelniania AD, aby umożliwić klientom Windows korzystanie z udziałów samby bez wyraźnego uwierzytelnienia przez użytkowników.
Był jeszcze jeden artykuł na temat SF o tym, co musisz zrobić.
Zasadniczo musisz skonfigurować kerberos, winbind, nss i pam.
Potem robisz A
kinit
i Anet ads join
i twoja gra .Jeśli chcesz, możesz skonfigurować pam tak, aby korzystały z wielu metod uwierzytelniania, więc jeśli jedna nie działa, wróci do następnej.
Zwykle używamy plików, winbindd i ldap dla serwerów obsługujących pliki na serwerach Windows.
Jeśli to możliwe, używałbym LDAP dla informacji o koncie i windbind ściśle dla auth, ale myślę, że możesz mapować atrybuty w / Myślę, że /etc/ldap.conf, jeśli potrzebujesz. Jeśli w końcu użyjesz winbindd do informacji o koncie, możesz użyć RID (metoda mieszania) do wygenerowania identyfikatorów / identyfikatorów, ale możesz też użyć innych metod. Użyliśmy identyfikatorów RID na jednym dużym serwerze plików i to był prawdziwy ból, więc spróbuję zbadać jedną z innych opcji, jeśli to możliwe. W naszym przypadku wszyscy użytkownicy AD i grupy są odzwierciedleni w LDAP przez nadrzędny system IDM, więc używamy LDAP do informacji o koncie na nowszych serwerach i używamy winbind wyłącznie do autoryzacji.
źródło
Uwierzytelnianie jest absolutnie proste przy użyciu Likeewise Open. http://www.likewise.com/products/likewise_open/index.php
Prawie cała moja infrastruktura Linuksa ma scentralizowane uwierzytelnianie i zarządzanie użytkownikami dzięki Likewise Open. Jest niezwykle prosty w instalacji i implementacji. Nie mogę powiedzieć wystarczająco dużo na ten temat.
Uwaga: identyfikatory UID i GID są przypisywane zgodnie z funkcją haszującą, więc są identyczne w całej infrastrukturze, więc podłączenia NFS działają idealnie.
źródło
Zainstalowałem usługi systemu Windows dla systemu Unix i dodałem użytkownika w usłudze AD o nazwie „Unix Authenticator”, a następnie wprowadziłem następujące zmiany pliku konfiguracyjnego na komputerach z systemem Linux:
/etc/ldap.conf: /etc/ldap.secret: /etc/nsswitch.conf: /etc/nsswitch.ldap: /etc/pam.d/system-auth:Mam nadzieję że to pomoże.
źródło
Użytkownicy Windowsa uwierzytelniają się w stosunku do AD, ale większość naszych serwerów (dysk publiczny itp.) Jest linux i należą do domeny. Z okna PoV nikt nie zauważa. Z mojej strony to trochę owocowe ssh'ing z moją nazwą użytkownika Windows, ale to mniej więcej o jej wielkości.
Używaj zwykłej starej samby.
źródło
Nie musisz używać Samby, AD obsługuje Kerberos i LDAP bezpośrednio. Nie ma powodu, abyś używał zewnętrznego oprogramowania w większości dystrybucji.
W przypadku Debiana / Ubuntu możesz to zrobić za pomocą libnss-ldap i libpam-krb5. Jest kilka sztuczek, aby uzyskać 100%. Zakłada się, że masz „unixHomeDirectory” wypełniony dla użytkowników Linuksa, twoje Linux-y używają NTP wspólnego z twoimi systemami Windows (wymaganymi przez Kerberos) i że jesteś w porządku z wyszukiwaniem zwykłego tekstu NSS (nie hasłem, ale informacjami o członkostwie w grupie itp. - możesz również użyj TLS, ale jest to bardziej skomplikowane w konfiguracji). NIE powinieneś mieć pam_ldap jako hasła lub źródła autoryzacji w PAM, chyba że masz skonfigurowane używanie TLS.
/etc/ldap.conf
Nie powinieneś edytować pliku /etc/krb5.conf, zakładając, że Twoje Linux-y korzystają z serwerów DNS, które znają AD (można rozwiązać strefy _msdcs z odpowiednimi rekordami SRV)
/etc/nsswitch.conf powinien mieć „pliki ldap” dla użytkowników, grup, cienia.
W przypadku Red Hat za pomocą SSSD:
/etc/sssd/sssd.conf
źródło