Intégrer Linux avec Active Directory Domain Services
Il existe plusieurs façons d’intégrer des machines virtuelles Linux à Active Directory. Trois options principales sont basées sur des composants intégrés ou disponibles gratuitement :
- Authentification/Autorisation LDAP. L’authentification et l’autorisation LDAP utilisent la conformité d’Active Directory avec les normes LDAP. Les applications qui implémentent NSS (Name Service Switch) et PAM (Pluggable Authentication Module) peuvent tirer parti des modules LDAP pour communiquer avec le point de terminaison LDAP d’Active Directory. Les utilisateurs de l’authentification LDAP ne peuvent pas changer leur mot de passe à partir du client Linux. Implémentez un processus de changement des mots de passe conforme à votre stratégie d’expiration des mots de passe, en fournissant aux utilisateurs une autre méthode pour changer leur mot de passe ou en mettant en place un mécanisme d’actualisation automatique des mots de passe.
- Authentification Kerberos 5/Autorisation LDAP. Avec l’authentification Kerberos, NSS utilise toujours le protocole LDAP et fonctionne de la même manière qu’avec l’authentification LDAP, mais PAM utilise le module pam_krb5 pour s’authentifier auprès du Centre de distribution de clés Kerberos (KDC) implémenté dans Active Directory. Il s’agit d’une configuration répandue, car elle fonctionne avec les composants prêts à l’emploi de manière sécurisée et fournit des fonctionnalités de modification de mot de passe.
- Authentification/Autorisation Winbind. Winbind est une solution plus complexe, nécessitant l’exécution d’un démon Winbind sur les systèmes Linux. Winbind fournit des fonctionnalités techniques plus avancées, comme la prise en charge de RPC et de NTLM, et ne nécessite pas l’installation de composants spécifiques (comme des services pour UNIX) pendant l’authentification des contrôleurs de domaine AD DS. Winbind fait partie de la suite d’interopérabilité Samba, qui fournit également des fonctionnalités de partage de fichiers à l’aide du protocole SMB. Si vous envisagez d’utiliser SMB, l’utilisation de Winbind est un choix logique.