Integrar o Linux com o Active Directory Domain Services
Há várias maneiras de integrar as máquinas virtuais do Linux ao Active Directory. As três opções principais são baseadas em componentes internos ou disponíveis gratuitamente:
- Autenticação/Autorização LDAP. A autenticação e a autorização LDAP usam a conformidade do Active Directory com os padrões LDAP. Os aplicativos que implementam o NSS (opção de serviço de nome) e o PAM (módulo de autenticação conectável) podem usar os módulos LDAP para comunicação com o ponto de extremidade LDAP do Active Directory. Os usuários da Autenticação LDAP não podem alterar suas senhas no cliente Linux. Considere um processo de alteração de senha que esteja em conformidade com sua política de expiração de senha, seja fornecendo aos usuários um método alternativo para alterar sua senha ou implementando um mecanismo automatizado de atualização de senha.
- Autenticação Kerberos 5/Autorização LDAP. Com a autenticação Kerberos, o NSS ainda usa LDAP e funciona da mesma forma que com a autenticação LDAP, porém, o PAM usa o módulo pam_krb5 para autenticação no KDC (centro de distribuição de chaves Kerberos) implementado no Active Directory. Essa é uma configuração popular, pois funciona com componentes prontos para uso de modo seguro que fornece recursos de alteração de senha.
- Autorização/Autenticação Winbind. O Winbind é uma solução mais complexa, exigindo que um daemon Winbind seja executado nos sistemas Linux. O Winbind fornece recursos técnicos mais avançados, como suporte para RPC e NTLM, e não requer que nenhum componente específico (como Serviços para UNIX) seja instalado na autenticação de controladores de domínio AD DS. O Winbind faz parte do pacote de interoperabilidade do Samba, que também fornece recursos de compartilhamento de arquivos usando o protocolo SMB. Se você planeja usar o SMB, usar Winbind é uma opção lógica.