Verwenden von Active Directory als LDAP-Server für Linux-Clients

8

Ich versuche herauszufinden, wie Windows Server 2008 R2 als LDAP-Server für Linux-Clients verwendet wird.

Im Idealfall sollten Benutzer in der Lage sein, sich über pam_ldap, das sich gegen AD authentifiziert, bei ihren Linux-Workstations anzumelden. (WinBind ist leider keine Option)

Ich habe mir Windows Services für Unix angesehen, aber es scheint bald EOL zu werden.

Gibt es einen anderen Weg, um dies zu erreichen?

linux active-directory ldap sideh
quelle

Antworten:

5

Danke für die Vorschläge. Wie ich im ursprünglichen Beitrag erwähnt habe, werden Windows-Dienste für Unix bald EOL sein, aber ich habe den Ersatz für alle Interessierten gefunden.

In Windows Server 2008 R2 müssen Sie die Funktion "Subsystem für UNIX-basierte Anwendungen" installieren.

Zweitens müssen Sie unter Rollen> Active Directory-Domänendienste "Identity Management for Unix" installieren.

Sobald diese installiert sind, hat jeder Benutzer einige zusätzliche Unix-Attribute :)

Die LDAP-Zuordnung für /etc/ldap.conf lautet wie folgt: 

# RFC 2307 (AD) mappings
nss_map_objectclass posixAccount user
nss_map_objectclass shadowAccount user
nss_map_attribute uid sAMAccountName
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute shadowLastChange pwdLastSet
nss_map_objectclass posixGroup group
nss_map_attribute uniqueMember member
pam_login_attribute sAMAccountName
pam_filter objectclass=User
pam_password ad

Die Freuden der Interoperabilität ...

sideh
quelle
Danke für die endlichen Details. Ich denke, ich hätte es erwähnen sollen, aber ich dachte, SFU-> SUA ist nur eine Namensänderung . Ich kann die Unterschiede in der Funktionalität nicht kommentieren.
songei2f
4

Ebenso hat Open für mich funktioniert - ziemlich einfach zu installieren und erfordert keine Änderungen an AD. Die kostenlose Version bietet Ihnen Anmeldefunktionen. Wenn Sie für die Enterprise-Version bezahlen, erhalten Sie Gruppenrichtlinien und eine ganze Reihe anderer Dinge.

dunxd
quelle
@dunxd Verwenden Sie die kostenlose oder Enterprise-Version? Ich war eine Weile neugierig darauf, und ich kann nicht anders, als mir sehr schnelle Einblicke in den Code anzusehen (und ich bin ein Idiot, also Vorbehalt). Er tut, was Samba tun sollte, und versucht, mit Vermutungen umzugehen und es einfacher zu machen konfigurieren. Der Kern war Samba und Winbind, als ich das letzte Mal nachgesehen habe.
songei2f
@alharaka - Ich benutze nur die Open-Version. Ich habe Ebenso erst kürzlich aufgegriffen, als ich die virtuelle Appliance ESX Management Assistant Server von VMware verwendete. Da die Berechtigungen zum Verwalten von VMs über AD auf unserem System festgelegt wurden, musste ich den Mitarbeitern erlauben, sich mit ihren AD-Anmeldungen beim Assistant Server anzumelden. Dafür funktioniert es gut. Soweit ich das beurteilen kann, wird LDAP verwendet und die Anmeldung ermöglicht, was das OP verlangt hat. Ich kann die Funktionen der Enterprise-Version nicht kommentieren, aber es scheint ein gut gepflegtes und dokumentiertes Projekt zu sein.
Dunxd
@dunxd Sehr eifersüchtig. Wir hatten nur ESXi, daher konnte ich solche Dinge bis jetzt nicht testen. Gerüchten zufolge sollte OpenLikewise in die nächste ESXi-Version integriert werden, damit billige Skates wie unser Team davon profitieren, aber ich habe in letzter Zeit keine Nachforschungen angestellt oder dies überprüft.
songei2f
@alharaka - Sie können Management Assistant Server verwenden, um Ihre ESXi-Systeme zu skripten, obwohl Sie natürlich nicht in der Lage sind, vMotion usw. auszuführen, wenn die Virtualisierung wirklich zur Geltung kommt. Ich habe da draußen einige Hacks gesehen, mit denen Sie auf eine Servicekonsole unter ESXi zugreifen können. Von dort aus können Sie Ebenso installieren und einer AD-Domäne beitreten. Aber ich bin mir nicht sicher, warum Sie sich die Mühe machen würden.
Dunxd
1
dunxd Danke für die Tipps. Ich habe keinen Zugriff mehr auf diese ESXi-Instanz, aber gut zu wissen. Um ehrlich zu sein, ich habe mich in die Konsole eingeschlichen (so konnte ich SSH für einen schnellen Neustart durchführen und mit scp alle etc-Dateien abrufen). Abgesehen davon, und es war mehr ein Experiment als alles andere, sind Sie "warum stören Kommentar" passend. Trotzdem danke für das gute Gespräch.
songei2f
2

Sie können http://www.quest.com/authentication-services/active-directory-for-unix.aspx (ehemals Vintela) ausprobieren.

Ich habe keine Erfahrung damit, es selbst einzurichten, aber mein früherer Arbeitgeber hat dies verwendet und es hat auf unseren Linux-Workstations sehr gut funktioniert.

weeheavy
quelle
1
Funktioniert, wir hatten immer noch viele Probleme damit. (mehr unter Unix als unter Linux) Die Unterstützung ist auch wirklich gut.
Skinp
1

Möglicherweise möchten Sie das Microsoft-Dokument mit Windows Services für Unix ([W] SfU) lesen. Dieser Link enthält anscheinend eine Dokumentation darüber . Über den Link:

Band 2: Lösungen mit Kerberos-Authentifizierung (Endzustände 1 und 2). Beschreibt die Implementierung der Endzustände 1 und 2 unter Verwendung verschiedener Technologieansätze. In Endstatus 1 verwenden UNIX-Clients Active Directory-Kerberos zur Authentifizierung, verwenden jedoch weiterhin einen vorhandenen UNIX-basierten Datenspeicher zur Autorisierung. In Endstatus 2 verwenden UNIX-Clients Active Directory-Kerberos zur Authentifizierung und Active Directory-LDAP zur Autorisierung.

Lassen Sie uns wissen, ob es für Sie funktioniert; Ich bin sehr daran interessiert, so etwas für Linux-Projekte zu implementieren.

songei2f
quelle
1

Schauen Sie sich Centrify an, das einen nativen Agenten für die direkte Verbindung mit AD unter Hunderten verschiedener UNIX- oder Linux-Versionen (oder OS X) bietet. Es gibt ein kostenloses Produkt ( Centrify Express ), das Authentifizierungsunterstützung für PAM-, NSS- und Kerberos-Clients enthält. Darüber hinaus verfügen sie über eine kostenlose Windows-Anwendung zum gleichzeitigen Bereitstellen und Verwalten auf vielen Servern.

Die kostenpflichtigen Suiten umfassen Gruppenrichtlinien, Zugriffskontrolle, Autorisierung, privilegierte Benutzerverwaltung, Berichterstellung, Aufzeichnung / Prüfung von Benutzersitzungen, Verschlüsselung / Authentifizierung von Daten auf der Leitung und vieles mehr.

Wird in der Produktion auf einem großen Teil der Fortune 2000 UNIX- und Linux-Server verwendet.

Corey - ein Centrify-Produktmanager


quelle
Wir evaluieren gerade Centrify und es ist sehr schön. Funktioniert einwandfrei. In diesem Fall benötige ich jedoch eine reine LDAP-Lösung.
Sideh