Integrare Linux con Active Directory Domain Services
Esistono diversi modi per integrare le macchine virtuali Linux con Active Directory. Le tre opzioni principali sono basate su componenti predefiniti o disponibili gratuitamente:
- Autenticazione/autorizzazione LDAP. L'autenticazione e l'autorizzazione LDAP usano la conformità di Active Directory con gli standard LDAP. Le applicazioni che implementano NSS (Name Service Switch) e PAM (Pluggable Authentication Module) possono usare i moduli LDAP per comunicare con l'endpoint LDAP di Active Directory. Con l'autenticazione LDAP, gli utenti non possono modificare la propria password dal client Linux. Si consiglia di implementare un processo di modifica delle password conforme ai criteri di scadenza delle password, fornendo agli utenti un metodo alternativo per cambiare la password o implementando un meccanismo automatizzato di aggiornamento delle password.
- Autenticazione Kerberos 5/autorizzazione LDAP Con l'autenticazione Kerberos, NSS usa ancora LDAP e funziona come con l'autenticazione LDAP, ma PAM usa il modulo pam_krb5 per eseguire l'autenticazione nel Centro distribuzione chiavi Kerberos (KDC) implementato in Active Directory. Si tratta di una configurazione ampiamente diffusa, perché funziona con componenti predefiniti in modo sicuro con funzionalità di modifica della password.
- Autenticazione/autorizzazione Winbind. Winbind è una soluzione più complessa, che richiede un daemon Winbind per l'esecuzione nei sistemi Linux. Winbind offre funzionalità tecniche più avanzate, ad esempio il supporto per RPC e NTLM, e non richiede componenti specifici (ad esempio servizi per UNIX) da installare nei controller di dominio di Active Directory Domain Services per l'autenticazione. Winbind fa parte della suite di interoperabilità Samba, che fornisce anche funzionalità di condivisione file basate sull'uso del protocollo SMB. Se si prevede di usare SMB, il ricorso a Winbind è una scelta logica.