ID管理にActive Directoryを使用する

ID管理にActive Directoryを使用する

ActiveDirectoryを使用してUnix / Linuxユーザーアカウントを管理するための最良かつ信頼性の高い方法は何ですか?それともこれは可能ですか?

答え1

私は非常に非常に(強く)それを使用することをお勧めしますまた開いている行ってこれをやってみてください。私がそれらについて話すたびに、私は雇われたばかのように聞こえますが、そうではありません。本当にとても良いです。

デフォルトでは、ソフトウェアをインストールして(RPMおよびDEBインストーラがあります)、「domainjoin-cli domain.com adminuser」を実行して「adminuser」のパスワードを入力すると、コンピュータはADドメインの一部になります。

私がしたことの1つは、設定を変更したことです。ユーザーがコンピュータに接続するたびにドメインを入力する必要がないように、デフォルトのドメイン仮定設定をオンにしました。

利点は途方もないです。 AD 資格情報を使用してログインすると、UID と GID がハッシュ値に基づいて割り当てられます。これは、インフラ全体が同一であることを意味します。これは、NFSなどの機能が機能できることを意味します。また、PAMも構成されているため、Samba、Apacheなどの認証も簡単です。

Likely Openのおかげで、私が提供するすべてのWebベースのサービスはAD認証を受けていません。

答え2

ADについて議論しているので、ここではエンタープライズ環境を想定します。

Active Directory ベースのユーザー アカウントを実行する数百の RHEL3、4、5 システムがあります。どちらも nss_ldap と pam_krb5 を使用して同じ構成を実行します。非常にうまく機能し、基本的なサポートツールを使用して堅牢であるため、標準のサポートオプションですべての市販のLinuxベンダーでサポートされています。結局のところ、ADはベンダーのための標準化されサポートされやすいプロトコルであるKerberosとLDAPです。

この方法でADを使用して解決できない問題はまだ発生していません。 Scott Loweのドキュメントここ最初にソリューションを設計する際に多くの助けを受けました。完璧ではありませんが、始めるのに役立ちます。 Scottのアイデアは、LDAP用のバインディングアカウントを作成することでしたが、あまり気に入りませんでした。 ADに参加しているコンピュータは、自分の資格情報を使用してLDAPクエリを実行できます。

要件に応じて、一歩下がるか、サポートされているソリューションが必要かどうかを検討することもできます。 「同じ」は良いかもしれませんが、かなり高価です。付属のツールを使用してくださいすべてデフォルトでサポートされているLinuxディストリビューションは次のとおりです。非常に小さいもう少し複雑ですが(しかし素晴らしいLinuxマネージャを驚かせてはいけません)、それは良いことです(または要件に応じて良いかもしれません)。

どうしたのかもっと詳しく書くことができますが、今は時間がありません。これは役に立ちますか?

答え3

まさにADではありませんが、ここで同様の質問に良い答えを得ました。

答え4

これは非常に実行可能で完了です。

誰かがすでに述べたように、直接統合も可能です。しかし...

一度試したい場合は、winbindSambaプロジェクトからインストールして同じ経験を提供することもできます。 winbindを使用すると、コンピュータはドメインのメンバーになり、Active DirectoryのユーザーアカウントのUID / GID設定を透過的にマッピングして割り当てることができます。

関連情報