Können Windows-Desktops bei einem vorhandenen LDAP-Server, der zur Authentifizierung verwendet wird, Benutzer gegen LDAP oder möglicherweise Kerberos authentifizieren?
quelle
Können Windows-Desktops bei einem vorhandenen LDAP-Server, der zur Authentifizierung verwendet wird, Benutzer gegen LDAP oder möglicherweise Kerberos authentifizieren?
Ich habe dies einmal erfolgreich mit pGina getestet , aber es ist nicht sehr freundlich einzurichten .
Sie können auch einen SAMBA-Server als Active Directory-Anbieter mit einem LDAP-Backend verwenden, dies habe ich jedoch noch nicht getestet. Hier sind die zwei grundlegenden Schritte:
SAMBA als PDC
Die Grundkonfiguration sieht folgendermaßen aus:
[global] passdb backend = tdbsam os level = 33 bevorzugter Master = Auto Domain Master = Ja lokaler Master = ja Sicherheit = Benutzer Domain-Anmeldungen = ja Anmeldepfad = \\% N \ Profile \% U. Anmeldelaufwerk = H: Logon Home = \\ Homeserver \% U \ Winprofile Anmeldeskript = logon.cmd [netlogon] Pfad = / var / lib / samba / netlogon schreibgeschützt = ja [Profile] Pfad = / var / lib / samba / profile schreibgeschützt = nein Maske erstellen = 0600 Verzeichnismaske = 0700
Weitere Informationen zu den SAMBA-Dokumenten .
LDAP
Die ordnungsgemäße Konfiguration eines LDAP-Servers ist nicht trivial (weder der SAMBA-Server IMHO), aber nachdem Sie einen konfiguriert haben ( OpenLDAP , FDS usw.), finden Sie hier einige gute Informationen zur Integration in SAMBA . Und genauer für RedHat .
Ich habe auch gehört, dass SAMBA 4 ein vollständiger Ersatz für Active Directory sein wird, aber wer weiß, wann das veröffentlicht wird.
Wie auch immer, ich weiß nicht, ob dies einfacher geworden ist als vor ungefähr 2 Jahren, aber ich hoffe es, weil ich nach ein paar Wochen Probezeit aufgegeben habe ... Vielleicht ist es Zeit, es noch einmal zu versuchen .
Damals war meine persönliche Vorliebe für FDS, weil es eine großartige Administrationskonsole hat und einfacher einzurichten war.
Edit : Ich habe mich gerade an eBox erinnert . Ich habe es nicht getestet, weil ich keine All-in-One-Lösungen mag, aber schauen Sie sich die Site an, wenn Sie dies tun (sie bietet viel mehr als einen Domänencontroller).
Nicht ohne einen benutzerdefinierten Anmeldeanbieter (msgina-Ersatz) ...
Am besten richten Sie entweder einen Windows-Domänencontroller für Windows-Clients ein, bei dem Sie sich anmelden können (damit Sie Gruppenrichtlinien und andere nützliche Dinge verwenden können), und lassen Sie ihn mit Ihrem vorhandenen LDAP-Dienst synchronisieren (siehe Dienste für Unix). Oder verwenden Sie Samba und lassen Sie es Ihr LDAP-Verzeichnis zur Authentifizierung verwenden.