Integración de Linux con Active Directory Domain Services
Hay varias maneras de integrar máquinas virtuales Linux con Active Directory. Las tres opciones principales se basan en componentes integrados o disponibles de forma gratuita:
- Autenticación y autorización de LDAP. La autenticación y la autorización LDAP usan el cumplimiento de Active Directory con los estándares de LDAP. Las aplicaciones que implementan NSS (cambio de servicio de nombres) y PAM (módulo de autenticación acoplable) pueden usar los módulos de LDAP para comunicarse con el punto de conexión LDAP de Active Directory. Los usuarios de la autenticación LDAP no pueden cambiar su contraseña desde el cliente de Linux. Considere la posibilidad de un proceso de cambio de contraseña que cumpla la directiva de expiración de contraseñas, ya sea ofreciendo a los usuarios un método alternativo para cambiar su contraseña o bien aplicando un mecanismo de actualización de contraseñas automatizado.
- Autenticación de Kerberos 5 y autorización de LDAP. Con la autenticación Kerberos, NSS sigue usando LDAP y funciona igual que con la autenticación LDAP, pero PAM usa el módulo pam_krb5 para autenticarse en el Centro de distribución de claves (KDC) de Kerberos implementado en Active Directory. Esta es una configuración habitual, porque funciona con componentes listos para usar de una forma segura y proporciona funcionalidad de cambio de contraseña.
- Autenticación y autorización de Winbind. Winbind es una solución más compleja, ya que requiere un demonio de Winbind para ejecutarse en los sistemas Linux. Winbind proporciona capacidades técnicas más avanzadas, como la compatibilidad con RPC y NTLM, y no requiere la instalación de componentes específicos (como Services for UNIX) en los controladores de dominio de AD DS que se van a autenticar. Winbind forma parte del conjunto de interoperabilidad de Samba, que también proporciona capacidades de uso compartido de archivos mediante el protocolo SMB. Si tiene previsto emplear SMB, el uso de Winbind es una opción lógica.