Integrowanie systemu Linux z usługami domena usługi Active Directory
Istnieje kilka sposobów integracji maszyn wirtualnych z systemem Linux z usługą Active Directory. Trzy główne opcje są oparte na wbudowanych lub bezpłatnych dostępnych składnikach:
- Uwierzytelnianie LDAP/autoryzacja. Uwierzytelnianie LDAP i autoryzacja używają zgodności usługi Active Directory ze standardami LDAP. Aplikacje, które implementują NSS (przełącznik usługi nazw) i PAM (podłączany moduł uwierzytelniania), mogą używać modułów LDAP do komunikowania się z punktem końcowym LDAP usługi Active Directory. Użytkownicy uwierzytelniania LDAP nie mogą zmienić hasła z klienta systemu Linux. Rozważ proces zmiany hasła, który jest zgodny z zasadami wygasania haseł, zapewniając użytkownikom alternatywną metodę zmiany hasła lub poprzez zastosowanie mechanizmu automatycznego odświeżania haseł.
- Uwierzytelnianie Kerberos 5/autoryzacja LDAP. W przypadku uwierzytelniania Kerberos usługa NSS nadal używa protokołu LDAP i działa tak samo jak w przypadku uwierzytelniania LDAP, ale usługa PAM korzysta z modułu pam_krb5 do uwierzytelniania w centrum dystrybucji kluczy Kerberos (KDC) zaimplementowanego w usłudze Active Directory. Jest to popularna konfiguracja, ponieważ współdziała ze składnikami wbudowanymi w bezpieczny sposób, który zapewnia możliwości zmiany hasła.
- Uwierzytelnianie /autoryzacja winbind. Winbind to bardziej złożone rozwiązanie, które wymaga, aby demon Winbind działał w systemach Linux. Winbind zapewnia bardziej zaawansowane możliwości techniczne, takie jak obsługa RPC i NTLM, i nie wymaga zainstalowania żadnych określonych składników (takich jak usługi dla systemu UNIX) na uwierzytelnianie kontrolerów domeny usług AD DS. Winbind jest częścią pakietu współdziałania Samba, który zapewnia również możliwości udostępniania plików przy użyciu protokołu SMB. Jeśli planujesz używać protokołu SMB, użycie narzędzia Winbind jest wyborem logicznym.