Estamos experimentando a integração de sistemas Linux no que é em grande parte um domínio do Windows, com um servidor Active Directory baseado no Windows. Após considerável tentativa e erro, configuramos com sucesso o sssd (no RHEL, CentOS e Ubuntu) para permitir logins de usuários do AD vinculados por grupos de segurança do AD. Nós resolvemos o problema de permitir logins do AD há muito tempo; foi um pouco mais complicado restringir o acesso a apenas usuários específicos do domínio do AD, como era necessário em nosso caso de uso. O último obstáculo envolve a experiência de tentar "automontar" os diretórios home a partir de um servidor de armazenamento do Windows, com algo como pam mkhomedir criando esses diretórios home, se eles não existirem. Eu digo experimentar porque sempre podemos voltar a usar um servidor de armazenamento linux. O sistema ideal teria usuários com algum nível de unificação de perfil de usuário do diretório inicial do Linux (semelhante ao que o Samba fornece aos perfis de domínio do NT), mas no momento não podemos fazer isso funcionar para clientes Linux. Usando um comando como este
mount.cifs //cnsdisk/Home/pgoetz /home/pgoetz -o username=pgoetz,sec=krb5,vers=3.0,uid=pgoetz,cruid=pgoetz
Trabalhará para exatamente um usuário que já tenha um tgt kerberos ticket para montar um compartilhamento do Windows, mas um segundo usuário será bloqueado. Meu pensamento é que, se não conseguirmos que as montagens manuais funcionem, não há esperança de construir uma solução automatizada.
Não estou esperando que alguém seja capaz de responder a isso (um artigo da base de conhecimento do RHEL declarou que isso não funcionou; não funcionou para nós); apenas frustrado que esses tipos de problemas ainda não tenham sido totalmente elaborados e documentados.
Edit: Tenho certeza de que a opção multiusuário fornecida acima é obsoleta, mas o suporte técnico do RHEL a incluiu em sua solução, então deixei-a. Não acho que isso ajude, no entanto.