Linux-Windows広告認証-なぜドメインに参加するのですか?
Windows ADを使用してLinuxサーバー上のユーザーを認証する場合、Kerberosを介して認証し、LDAPでUID、GID、ホームディレクトリなどを検索するよりも、Winbindと「ドメインへの参加」を使用する利点がありますか?
はい、WinbindはActiveDirectoryでのオブジェクトの設定を自動化します。 ADに対して手動で認証するようにKerberosを設定しようとしましたが、ひどいです。 Windowsコマンドラインには多くのあいまいなコマンドがあり、ADUnix拡張機能が必要です。私はそれを動作させることができませんでした、そしてADUnix拡張機能はWindows2012以降のADのために非推奨になりました。
最近では、realmdはLinuxサーバーをADにはるかに簡単に統合できるようになります。 SSSDとKerberosをローカルにセットアップし、ADに必要なすべてのオブジェクトを作成します。私はこれを使用してUbuntu、CentOS、FedoraをADドメインに統合しましたが、非常にうまく機能します。 CentOSとFedoraはシームレスであり、Ubuntuは必要な構成手順がすべて解決された後でもうまく機能します。
Active Directoryは、デフォルトで匿名LDAPバインドを許可していません。ホストをドメインに参加させると、ホストは「信頼」されるため、独自の資格情報を使用してドメインリソース(LDAPなど)にアクセスできます。
ADで匿名バインドを許可した場合、これはあまり意味がありません。
Kerberosの有無にかかわらず、適切なUNIX属性についてADにクエリを実行する必要があります。 KerberosはSSOを提供します(Windowsワークステーションにログインする場合と同じ資格情報を使用してLinuxサーバーにログオンする場合)。
そして、少なくともWindowsワークステーションでは、Windowsで利用可能なSSHエージェントと比較すると、そのプラットフォームのSSHエージェントは、秘密鍵を使用して特に安全なことを行っていないことがわかります(たとえば、アイドル時間の後にそれらを削除します。または画面がロックされたときなど)