Integrace Linuxu se službami Doména služby Active Directory Services
Existuje několik způsobů integrace virtuálních počítačů s Linuxem se službou Active Directory. Tři hlavní možnosti jsou založené na integrovaných nebo volně dostupných komponentách:
- Ověřování /autorizace protokolu LDAP. Ověřování a autorizace protokolu LDAP používají dodržování předpisů služby Active Directory se standardy LDAP. Aplikace, které implementují NSS (přepínač názvových služeb) a PAM (pluggable Authentication Module), můžou ke komunikaci s koncovým bodem LDAP služby Active Directory používat moduly LDAP. Uživatelé ověřování LDAP nemůžou změnit heslo z klienta Linuxu. Zvažte proces změny hesla, který odpovídá zásadám vypršení platnosti hesla, a to buď tím, že uživatelům poskytnete alternativní metodu, jak změnit heslo, nebo aby měli automatizovaný mechanismus aktualizace hesel.
- Ověřování protokolem Kerberos 5 / Autorizace PROTOKOLU LDAP S ověřováním protokolu Kerberos stále používá NSS ldap a funguje stejně jako u ověřování PROTOKOLU LDAP, ale PAM využívá modul pam_krb5 k ověření v centru KDC (Kerberos Key Distribution Center) implementovaném ve službě Active Directory. Jedná se o oblíbenou konfiguraci, protože funguje s předefinovaných komponent zabezpečeným způsobem, který poskytuje možnosti změny hesla.
- Ověřování / autorizace winbind. Winbind je složitější řešení, které vyžaduje spuštění démona Winbind v systémech Linux. Winbind poskytuje pokročilejší technické funkce, jako je podpora RPC a NTLM, a nevyžaduje, aby se na ověřování řadičů domény AD DS nainstalovaly žádné konkrétní komponenty (například služby pro UNIX). Winbind je součástí sady Samba interoperability, která také poskytuje možnosti sdílení souborů pomocí protokolu SMB. Pokud plánujete používat protokol SMB, je použití winbind logické volby.