Integrera Linux med Active Directory-domän Services
Det finns flera sätt att integrera virtuella Linux-datorer med Active Directory. Tre huvudalternativ baseras på inbyggda eller fritt tillgängliga komponenter:
- LDAP-autentisering/auktorisering. LDAP-autentisering och auktorisering använder Active Directorys efterlevnad med LDAP-standarder. Program som implementerar NSS (namntjänstväxel) och PAM (pluggbar autentiseringsmodul) kan använda LDAP-moduler för att kommunicera med LDAP-slutpunkten i Active Directory. LDAP-autentiseringsanvändare kan inte ändra sitt lösenord från Linux-klienten. Överväg en process för lösenordsändring som överensstämmer med lösenordets förfalloprincip, antingen genom att ge användarna en alternativ metod för att ändra sitt lösenord eller genom att ha en automatisk mekanism för lösenordsuppdatering på plats.
- Kerberos 5-autentisering/LDAP-auktorisering. Med Kerberos-autentisering använder NSS fortfarande LDAP och fungerar på samma sätt som med LDAP-autentisering, men PAM använder modulen pam_krb5 för att autentisera mot Kerberos Key Distribution Center (KDC) som implementeras i Active Directory. Det här är en populär konfiguration eftersom den fungerar med färdiga komponenter på ett säkert sätt som ger funktioner för lösenordsändring.
- Winbind-autentisering/auktorisering. Winbind är en mer komplex lösning som kräver att en Winbind-daemon körs på Linux-systemen. Winbind tillhandahåller mer avancerade tekniska funktioner, till exempel stöd för RPC och NTLM, och kräver inte att några specifika komponenter (till exempel Tjänster för UNIX) installeras på autentisering av AD DS-domänkontrollanter. Winbind är en del av Samba-samverkanssviten, som även tillhandahåller fildelningsfunktioner med hjälp av SMB-protokollet. Om du planerar att använda SMB är winbind ett logiskt val.