Acabei indo com Pass Through Authentication sobre o OpenLDAP e o SASL. FreeIPA parece bom embora.
Eu tenho procurado na web tentando encontrar uma maneira de autenticar usuários no Linux com uma conta de usuário de domínio em um servidor Windows 2012R2. A maneira que eu fiz isso no passado é usar a função "Identity Management for Unix" no servidor para obter a configuração dos atributos Posix. A Microsoft, no entanto, tem "obsoleto" esse recurso no Servidor 2012R2.
Alguém sabe de outra maneira de autenticar contas Linux (centralizadas) sem ter os atributos Posix no AD no servidor Windows? Estou tentando seguir o hesling pdf e o Guia RedHat para integrar o AD ao Linux, mas ambos os artigos, publicados no ano passado. aparentemente usam o papel da IMU na AD.
Eu tentei Centrify Express esta semana, mas a menos Eu estava faltando alguma coisa, eu não era capaz de gerenciar qualquer um dos atributos Posix para as contas do Linux no AD com ele.
Acabei indo com Pass Through Authentication sobre o OpenLDAP e o SASL. FreeIPA parece bom embora.
Acredito que o FreeIPA foi construído desde o início para conectar o UNIX / Linux ao AD DC (Microsoft) e autenticar usuários.
"Crie confiança mútua com outros sistemas de gerenciamento de identidades como o Microsoft Active Directory".
Boa sorte! :)
A IMU da Microsoft não é necessária para gerenciar os atributos Unix, você simplesmente não possui um snap-in e uma guia separada para gerenciar os atributos Unix. Os atributos rfc2307 / posix são totalmente suportados no esquema do AD. Em vez disso, você pode gerenciá-los com ADSI Edit, AD Users & Grupos (Visualizar - > Avançado, em seguida, usar a guia Editor de Atributos em objetos), LDAP, PowerShell, etc. Um usuário AD com uidNumber, gidNumber, loginShell e unixHomeDirectory em sua conta é um usuário Unix e Os clientes Linux podem usar o AD como um serviço de nomes e para autenticação.
Como cada cliente está configurado para usar o AD pode variar. Os clientes Linux SSSD mais recentes podem ser clientes de domínio AD completos usando o Kerberos. Ou, se o LDAP estiver habilitado nos DCs do AD, os clientes do Linux podem ser um cliente LDAP tradicional.