現在、SambaとWinbindを利用してActive Directory環境(Windows 2003 R2)に対して認証を行うCentOS5.5サーバーがあります。それは私たちに役立っていますが、もっと堅牢なものが必要であり、誰かがLDAPとKerberosを利用してADに対して直接認証することを提案しています。このプッシュの背後にある主な動機は、一方のサーバーの1人のユーザー(bob)がUID 501ともう一方の531を持ち、SMBマウントされたディレクトリのアクセス許可に影響を与える、異なるUID/GIDがあることです。
ADのUnix属性を読み取ることができるので、環境全体でUID/GIDを一元化および標準化できることは、私の理解です(Linuxの初心者と言えます)。この環境をできるだけ安定させたいのですが、Samba/Winbindソリューションが適切に拡張されているとは思わないので、ADをLDAPサーバーとして厳密に指定することでこれを行うことができれば理想的です。
どんな提案も大歓迎で、私がそれ以上髪を引っ張るのを防ぎます。
まず、[Windowsコンポーネントの追加と削除]ウィンドウの[ActiveDirectoryサービス]の下にある[UNIXのID管理]ウィンドウコンポーネントをインストールすることを忘れないでください。
Active Directory DCは、次の2つのサービスを提供します。
CentOSサーバーでは、/ etc/ldap.confを介してLDAPユーザー列挙を構成する必要があります。Kerberos構成は/etc/krb5.confにあり、ユーザーを利用するには、/ etc /nsswitch.confを更新する必要があります。
Kerberos認証を有効にするには、/ etc/pam.d/system-authファイルを編集する必要があります。
いくつかの落とし穴:
クイック検索で 以下のガイド が見つかりました。それが機能した後、DCへのKerberosバインディングを試してみます。このガイドはRHEL5向けですが、CentOS5でもまったく同じように機能します。
Winbindの唯一の問題がサーバー間のUIDの不一致である場合は、winbindがActive Directory RIDを使用してUIDを生成することを確認してください。そうすれば、それらは一貫性があります。 この前の質問 始めるのに十分な詳細が必要です。 AD用のUnix拡張機能はまだ必要ありません。リンクされた方法は、数十の別々のサーバーで機能し、すべてが不一致なしに同じ中央NFS共有をマウントします。