Integrieren von Linux in Active Directory Domain Services

  • 5 Minuten

Es gibt mehrere Möglichkeiten, virtuelle Linux-Computer in Active Directory zu integrieren. Die drei wichtigsten Optionen basieren auf integrierten oder frei verfügbaren Komponenten:

  • LDAP-Authentifizierung/-Autorisierung. Der LDAP-Authentifizierung und -Autorisierung kommt zugute, dass Active Directory LDAP-Standards entspricht. Anwendungen, die NSS (Name Service Switch) und PAM (Pluggable Authentication Module) implementieren, können mithilfe von LDAP-Modulen mit dem LDAP-Endpunkt von Active Directory kommunizieren. Bei LDAP-Authentifizierung können Benutzer ihr Kennwort nicht über den Linux-Client ändern. Ziehen Sie einen Prozess zur Änderung von Kennwörtern in Betracht, der mit Ihrer Richtlinie zum Ablauf von Kennwörtern übereinstimmt, indem Sie den Benutzern entweder eine alternative Methode zur Änderung ihres Kennworts anbieten oder einen automatischen Mechanismus zur Aktualisierung des Kennworts einrichten.
  • Kerberos 5-Authentifizierung/LDAP-Autorisierung. Bei der Kerberos-Authentifizierung nutzt NSS weiterhin LDAP und funktioniert genau so wie bei der LDAP-Authentifizierung. PAM nutzt dagegen das pam_krb5-Modul für die Authentifizierung über das in Active Directory implementierte Kerberos-Schlüsselverteilungscenter (KDC, Key Distribution Center). Diese Konfiguration ist sehr beliebt, da sie in sicherer Weise mit sofort einsatzbereiten Komponenten arbeitet und die Möglichkeit zur Kennwortänderung bietet.
  • Winbind-Authentifizierung/-Autorisierung. Winbind ist eine komplexere Lösung, bei der ein Winbind-Daemon auf den Linux-Systemen ausgeführt werden muss. Winbind stellt intelligentere technische Funktionen wie die Unterstützung von Remoteprozeduraufrufen und die integrierte Windows-Authentifizierung bereit und verlangt nicht, dass auf authentifizierenden AD DS-Domänencontrollern spezielle Komponenten (wie Dienste für UNIX) installiert werden müssen. Winbind ist Teil der Samba-Interoperabilitätssammlung, die mithilfe des SMB-Protokolls auch Dateifreigabefunktionen bereitstellt. Wenn Sie SMB verwenden möchten, stellt die Verwendung von Winbind eine logische Option dar.