linux - autenticação de anúncios do Windows - por que ingressar no domínio?

Sim, o Winbind automatiza a configuração do objeto no Active Directory. Eu tentei configurar o Kerberos para autenticar manualmente no AD, e é horrível. Muitos comandos obscuros na linha de comando do Windows e extensões do AD Unix são necessários. Eu nunca consegui fazê-lo funcionar, e as extensões do AD Unix foram descontinuadas para o AD após o Windows 2012.

Mais recentemente, o realmd integrará os servidores Linux no AD de maneira muito mais fácil. Ele configura o SSSD e o Kerberos localmente e cria todos os objetos necessários no AD. Eu usei-o para integrar o Ubuntu, o CentOS e o Fedora em um domínio do AD, e funciona muito bem. O CentOS e o Fedora foram perfeitos, e o Ubuntu funciona bem depois que todas as etapas de configuração necessárias foram resolvidas.

realmd: link

Você ainda precisa estar consultando seu AD quanto aos atributos apropriados do unix com ou sem o Kerberos. O Kerberos fornecerá SSO (se você usar as mesmas credenciais para fazer logon nos servidores Linux, como faz para efetuar login na estação de trabalho do Windows.)

E, pelo menos nas estações de trabalho do Windows, se você comparar com os agentes SSH disponíveis no Windows, descobrirá que os agentes SSH nessa plataforma não protegem com chaves particulares (por exemplo, removê-los depois de um período de tempo ocioso, ou quando a tela trava, etc.)

O Active Directory não permite vinculação LDAP anônima por padrão. Juntar um host ao domínio torna o host "confiável", para que ele possa acessar os recursos do domínio (como o LDAP) com suas próprias credenciais.

Isso não é muito traduzido se você permitir a vinculação anônima no AD.