将 Linux 与 Active Directory 域服务集成

可通过多种方式将 Linux 虚拟机与 Active Directory 集成。三种主要方案基于内置或免费提供的组件：

LDAP 身份验证/授权。 LDAP 身份验证和授权使用 Active Directory 遵循 LDAP 标准的特点。实现 NSS（名称服务切换）和 PAM（可插拔身份验证模块）的应用程序可以使用 LDAP 模块与 Active Directory 的 LDAP 终结点进行通信。 LDAP 身份验证用户无法通过 Linux 客户端更改密码。通过为用户提供一种更改其密码的替代方法，或者通过采用一种自动的密码刷新机制，考虑一个符合密码过期策略的密码更改过程。
Kerberos 5 身份验证/LDAP 授权。若使用 Kerberos 身份验证，NSS 仍使用 LDAP，其工作原理与 LDAP 身份验证相同，但 PAM 会利用 pam_krb5 模块对 Active Directory 中实现的 Kerberos 密钥发行中心 (KDC) 进行身份验证。这是一种常用的配置，因为它能够以安全的方式使用现成的组件，该方式提供密码更改功能。
Winbind 身份验证/授权。 Winbind 是一种更复杂的解决方案，需要 Winbind 守护程序才能在 Linux 系统上运行。 Winbind 提供更高级的技术功能（例如对 RPC 和 NTLM 的支持），并且不需要在身份验证 AD DS 域控制器上安装任何特定的组件（例如适用于 UNIX 的服务）。 Winbind 属于 Samba 互操作性套件，该套件还使用 SMB 协议提供文件共享功能。如果打算使用 SMB，则使用 Winbind 比较合理。

反馈