Kami menggunakan server Windows dan Linux di perusahaan pengembangan perangkat lunak kami.
Salah satu titik gesekan dengan pengaturan ini adalah bahwa kami tidak memiliki solusi masuk tunggal. Menjadi lebih dari toko Microsoft daripada Linux yang ingin kami otentikasi terhadap AD.
Saya membaca beberapa artikel online dan saya mengerti ini mungkin terjadi.
Kami saat ini menggunakan layanan berikut di Linux yang memerlukan otentikasi:
- server git (melalui SSH)
- Sendmail
- server web Apache saat ini menggunakan file .htaccess.
- Berbagi file SAMBA
Yang ingin saya ketahui adalah seberapa praktis pengaturan seperti ini? Apakah ini benar-benar berfungsi atau apakah itu rawan kesalahan?
linux
windows
authentication
single-sign-on
Philip Fourie
sumber
sumber
Jawaban:
Ini tidak sulit dan sangat praktis.
Kami memiliki beberapa ratus mesin desktop dual boot yang menggunakan auth AD serta sejumlah server yang menggunakan auth AD untuk memungkinkan klien windows untuk menggunakan saham samba mereka tanpa auth eksplisit oleh pengguna.
Ada artikel lain di SF tentang apa yang perlu Anda lakukan.
Pada dasarnya Anda perlu mengkonfigurasi kerberos, winbind, nss dan pam.
Maka Anda melakukan a
kinit
dan anet ads join
dan Anda naik.Anda dapat mengkonfigurasi pam untuk menggunakan beberapa metode auth jika Anda mau, jadi jika salah satu tidak berfungsi maka akan kembali ke yang berikutnya.
Kami biasanya menggunakan file, winbindd dan ldap untuk server yang melayani fileshares ke server windows.
Jika mungkin saya akan menggunakan LDAP untuk info akun dan windbind ketat untuk auth, tapi saya yakin Anda dapat memetakan atribut di I think /etc/ldap.conf jika perlu. Jika Anda akhirnya menggunakan winbindd untuk info akun, dimungkinkan untuk menggunakan RID (metode hashing) untuk menghasilkan uids / gids, tetapi juga dimungkinkan untuk menggunakan metode lain. Kami menggunakan RID pada satu server file besar dan itu benar-benar menyebalkan, jadi saya akan mencoba dan mengeksplorasi salah satu opsi lain jika memungkinkan. Dalam kasus kami, semua pengguna dan grup AD tercermin dalam LDAP oleh sistem IDM hulu, jadi kami menggunakan LDAP untuk info akun di server yang lebih baru dan menggunakan winbind murni untuk auth.
sumber
Otentikasi sangat sederhana menggunakan Likewise Open. http://www.likewise.com/products/likewise_open/index.php
Hampir seluruh infrastruktur Linux saya memiliki otentikasi dan manajemen pengguna yang terpusat berkat Likewise Open. Sangat mudah untuk menginstal dan mengimplementasikan. Saya tidak mungkin mengatakan cukup baik tentang itu.
Sebagai catatan, UID dan GID ditugaskan sesuai dengan fungsi hash, sehingga mereka identik di seluruh infrastruktur, sehingga mount NFS bekerja dengan sempurna.
sumber
Saya menginstal Layanan Windows untuk Unix dan menambahkan pengguna dalam AD yang disebut "Unix Authenticator", kemudian membuat perubahan file konfigurasi berikut pada mesin linux:
/etc/ldap.conf: /etc/ldap.secret: /etc/nsswitch.conf: /etc/nsswitch.ldap: /etc/pam.d/system-auth:Semoga ini membantu.
sumber
Punya pengguna Windows yang autentikasi terhadap AD, tetapi sebagian besar server kami (drive publik dll.) Adalah linux, dan mereka adalah bagian dari domain. Dari jendela PoV tidak ada yang tahu. Dari sisi saya, rasanya sedikit berbuah ssh'ing dengan nama pengguna windows saya tapi itu tentang ukurannya.
Hanya gunakan samba tua biasa.
sumber
Anda tidak perlu menggunakan Samba, AD mendukung Kerberos dan LDAP secara langsung. Tidak ada alasan bagi Anda untuk menggunakan perangkat lunak eksternal apa pun pada sebagian besar distribusi.
Untuk Debian / Ubuntu Anda dapat melakukannya dengan libnss-ldap dan libpam-krb5. Ada beberapa trik untuk mendapatkannya 100%. Ini mengasumsikan Anda memiliki "unixHomeDirectory" yang diisi untuk pengguna Linux, kotak Linux Anda menggunakan NTP yang umum dengan sistem Windows Anda (diperlukan oleh Kerberos) dan bahwa Anda OK dengan pencarian NSS teks biasa (bukan kata sandi tetapi info keanggotaan grup dll - Anda juga dapat gunakan TLS tapi itu lebih rumit untuk diatur). Anda TIDAK boleh memiliki pam_ldap sebagai kata sandi atau sumber auth dalam PAM kecuali Anda sudah diatur untuk menggunakan TLS.
/etc/ldap.conf
Anda seharusnya tidak perlu mengedit /etc/krb5.conf dengan asumsi kotak Linux Anda menggunakan server DNS yang tahu tentang AD (zona _msdcs dengan catatan SRV yang sesuai dapat diatasi)
/etc/nsswitch.conf harus memiliki "files ldap" untuk pengguna, grup, shadow.
Untuk Red Hat menggunakan SSSD:
/etc/sssd/sssd.conf
sumber