使用AD来验证Linux的当前最佳实践(2013)

概述据我所知,有3种(常见)方法可以使用Active Directory作为 Linux主机的身份验证和授权： > LDAP > Kerberos > Samba / Winbind 关于哪种方法是最佳实践,是否存在(当前)共识？ 我从来没有完全清楚每种方法的优点/缺点,但是每个文档/教程都以不同的方式表达,并且其中很多都没有过时或解释为什么他们使用特定的方法. 我现在使用的方法是 SSSD.它非常轻 据我所知,有3种(常见)方法可以使用Active Directory作为 Linux主机的身份验证和授权：

> LDAP
> Kerberos
> Samba / Winbind

关于哪种方法是最佳实践,是否存在(当前)共识？

我从来没有完全清楚每种方法的优点/缺点,但是每个文档/教程都以不同的方式表达,并且其中很多都没有过时或解释为什么他们使用特定的方法.

解决方法 我现在使用的方法是 SSSD.它非常轻松,配置文件很干净. SSSD可以在安装时启用,也可以通过authconfig命令UI运行.我最近从本地auth转换了~200台linux服务器到SSSD并使用了以下步骤.

这假设一个类似Red Hat的系统(RHEL,CentOS,Fedora)……

1)下载SSSD.

yum install sssd

2).修改系统的authconfig设置.

authconfig –enablesssd –ldapserver=ldap://dc1.mdmarra.local
–ldapbasedn=”dc=mdmarra,dc=local” –enablerfc2307bis –enablesssdauth –krb5kdc=dc1.mdmarra.local –krb5realm=MDMARRA.LOCAL –disableforcelegacy –enablelocauthorize –enablemkhomedir –updateall

3).使用以下命令更新/etc/sssd/sssd.conf配置文件内容：

# sssd.conf[domain/default]ldap_ID_use_start_tls = Falseldap_schema = rfc2307bisldap_search_base = dc=mdmarra,dc=localkrb5_realm = MDMARRA.LOCALkrb5_server = dc1.mdmarra.localID_provIDer = ldapauth_provIDer = krb5chpass_provIDer = krb5ldap_uri = ldap://dc1.mdmarra.local,ldap://dc2.mdmarra.localkrb5_kpasswd = dc1.mdmarra.local,dc2.mdmarra.localkrb5_kdcip = dc1.mdmarra.local,dc2.mdmarra.localcache_credentials = Trueldap_tls_cacertdir = /etc/openldap/cacertsldap_force_upper_case_realm = Trueldap_user_object_class = personldap_group_object_class = groupldap_user_gecos = displaynameldap_user_home_directory = unixHomeDirectoryldap_default_bind_dn = ldapuser@mdmarra.localldap_default_authtok_type = passwordldap_default_authtok = fdfXb52Ghk3F[sssd]services = nss,pamconfig_file_version = 2domains = default[nss]filter_users = root,ldap,named,avahi,haldaemon,dbus,radiusd,news,nscd[pam][sudo][autofs][ssh]

总结

以上是内存溢出为你收集整理的使用AD来验证Linux的当前最佳实践(2013)全部内容，希望文章能够帮你解决使用AD来验证Linux的当前最佳实践(2013)所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。