Usando o Active Directory como um servidor LDAP para clientes Linux

Navegue suas respostas
7

Estou tentando descobrir como usar o Windows Server 2008 R2 como um servidor LDAP para clientes Linux.

O ideal é que os usuários possam fazer login em suas estações de trabalho Linux por meio da autenticação pam_ldap no AD. (winbind não é uma opção, infelizmente)

Eu olhei para o Windows Services for Unix, mas parece estar indo EOL em breve.

Existe alguma outra maneira de conseguir isso?

    
por sideh 18.10.2010 / 14:21

5 respostas

5

Obrigado pelas sugestões. Como mencionei no post original, os serviços do Windows para o Unix serão EOL em breve, mas encontrei o substituto para qualquer pessoa interessada.

No Windows Server 2008 R2, você precisa instalar o recurso "Subsystem for UNIX-based applications".

Em segundo lugar, em Papéis > Serviços de Domínio do Active Directory você precisa instalar o "Gerenciamento de Identidades para Unix".

Uma vez que estes estejam instalados, cada usuário terá alguns atributos extras de unix :)

O mapeamento ldap para /etc/ldap.conf é o seguinte: 

# RFC 2307 (AD) mappings
nss_map_objectclass posixAccount user
nss_map_objectclass shadowAccount user
nss_map_attribute uid sAMAccountName
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute shadowLastChange pwdLastSet
nss_map_objectclass posixGroup group
nss_map_attribute uniqueMember member
pam_login_attribute sAMAccountName
pam_filter objectclass=User
pam_password ad

As alegrias da interoperabilidade ...

    
por 19.10.2010 / 12:03
4

O Likewise Open funcionou para mim - é muito fácil de instalar e não requer alterações para DE ANÚNCIOS. A versão gratuita oferece a funcionalidade de login. Se você paga pela a versão Enterprise , você obtém a Diretiva de Grupo e uma série de outras coisas.

    
por 18.10.2010 / 14:58
2

Você pode tentar o link (antigo Vintela).

Eu não tenho experiência em configurá-lo sozinho, mas meu empregador anterior usou isso e funcionou muito bem em nossas estações de trabalho Linux.

    
por 18.10.2010 / 14:49
1

Você pode querer ler o documento da Microsoft usando o Windows Services para Unix ([W] SfU). Este link inclui a documentação sobre isso aparentemente . Do link:

Volume 2: Solutions Using Kerberos Authentication (End States 1 and 2). Describes implementation of End States 1 and 2 using different technology approaches. In End State 1, UNIX clients use Active Directory Kerberos for authentication but continue to use an existing UNIX-based data store for authorization. In End State 2, UNIX clients use Active Directory Kerberos for authentication and Active Directory LDAP for authorization.

Deixe-nos saber se funciona para você; Estou muito interessado em implementar tal coisa para projetos Linux.

    
por 18.10.2010 / 17:51
1

Confira o Centrify, que fornece um agente nativo para se conectar diretamente ao AD em centenas de tipos diferentes de UNIX ou Linux (ou OS X). Existe um produto gratuito ( Centrify Express ) que inclui suporte de autenticação para clientes PAM, NSS e Kerberos. Além disso, eles têm um aplicativo gratuito do Windows para implantar e gerenciar remotamente muitos servidores de uma só vez.

Os pacotes pagos incluem política de grupo, controle de acesso, autorização, gerenciamento de usuários privilegiados, relatórios, gravação / auditoria de sessão do usuário, criptografia / autenticação de dados na transmissão e muito mais.

Usado na produção em uma grande parte dos servidores Fortune 2000 UNIX e Linux.

Corey - um gerente de produtos da Centrify

    
por 18.10.2010 / 21:49

Tags

Por que o usuário root pode editar arquivos somente leitura, mas um usuário comum com acesso sudo não pode? O log centralizado é uma boa ideia?