Autenticar o CentOS contra o AD sem o Samba / Winbind

Navegue suas respostas
3

Atualmente, temos nossos servidores CentOS 5.5 autenticando em nosso ambiente do Active Directory (Windows 2003 R2) utilizando o Samba & Winbind. Ele nos serviu bem, mas precisamos de algo mais robusto e alguém sugeriu utilizar LDAP & Kerberos para autenticar diretamente no AD. A principal motivação por trás dessa pressão é que temos um UID / GID diferente, em que um único usuário (bob) em um servidor terá o UID 501 e, no outro, 531 e está afetando as permissões para diretórios montados em SMB.

O meu entendimento (falando como um Linux newb) é que os atributos do Unix no AD podem ser lidos, portanto centralizando e padronizando nosso UID / GID em todo o ambiente? Eu gostaria que este ambiente fosse o mais estável possível e não achasse que a solução Samba / Winbind está sendo bem dimensionada, então se eu puder fazer isso estritamente apontando para o AD como um servidor LDAP que seria o ideal.

Todas as sugestões são muito apreciadas e me impedirão de puxar meu cabelo ainda mais.

    
por GVP 09.06.2011 / 21:04

2 respostas

3

Primeiro, não se esqueça de instalar o componente de janelas "Identity Management for UNIX" em "Serviços do Active Directory", na janela "Adicionar / Remover Componentes do Windows".

Um DC do Active Directory fornecerá dois serviços:

  1. Enumeração do usuário (UID / GID / Home Dir / etc.) via LDAP
  2. Autenticação do usuário via Kerberos

Nos servidores CentOS, você precisará configurar a enumeração do usuário LDAP por meio do /etc/ldap.conf, a configuração do Kerberos vai em /etc/krb5.conf e para fazer uso dos usuários, você precisa atualizar o / etc / nsswitch .conf.

Para ativar a autenticação Kerberos, você precisará editar o arquivo /etc/pam.d/system-auth.

Alguns gottachs:

  • Verifique se o seu tempo está sincronizado de uma fonte confiável, no DC e nos clientes
  • Verifique se você resolveu e resolveu a questão
  • Os guias obrigatórios mostrarão como se conectar ao DC com um usuário / senha, uma maneira mais segura será usar um tíquete Kerberos para autenticação DC (para enumeração / autenticação do usuário)
  • Provavelmente não funcionará na primeira captura, deixe um usuário root logado pelo maior tempo possível para permitir correções rápidas sem precisar entrar no modo Rescue (depois de ter se bloqueado de uma máquina).

Uma pesquisa rápida surgiu com o guia a seguir . Depois disso, eu tentaria ligar o Kerberos ao DC. O guia é para o RHEL5, mas funcionará do mesmo jeito no CentOS5

    
por 09.06.2011 / 21:31
1

Se o seu único problema com o winbind for a incompatibilidade de UID entre os servidores, certifique-se de que o winbind use o RID do Active Directory para gerar seus UIDs e eles serão consistentes. Esta pergunta anterior deve ter detalhes suficientes para você começado. Eu nunca precisei de nenhuma das extensões Unix para o AD, e o método link está funcionando para mim em algumas dúzias de servidores separados, todos montando o mesmo compartilhamento NFS central sem incompatibilidades.

    
por 10.06.2011 / 00:00

Tags

Kit de Instalação Automatizada do Windows (WAIK) com um Windows 2008R2 ISO bruto Vulnerabilidade JBOSS [varredura PCI]