Kann Windows in LDAP integriert werden?

8

Können Windows-Desktops bei einem vorhandenen LDAP-Server, der zur Authentifizierung verwendet wird, Benutzer gegen LDAP oder möglicherweise Kerberos authentifizieren?

jldugger
quelle

Antworten:

9

Ich habe dies einmal erfolgreich mit pGina getestet , aber es ist nicht sehr freundlich einzurichten .

Sie können auch einen SAMBA-Server als Active Directory-Anbieter mit einem LDAP-Backend verwenden, dies habe ich jedoch noch nicht getestet. Hier sind die zwei grundlegenden Schritte:

SAMBA als PDC

Die Grundkonfiguration sieht folgendermaßen aus:

[global]
passdb backend = tdbsam
os level = 33
bevorzugter Master = Auto
Domain Master = Ja
lokaler Master = ja
Sicherheit = Benutzer
Domain-Anmeldungen = ja
Anmeldepfad = \\% N \ Profile \% U.
Anmeldelaufwerk = H:
Logon Home = \\ Homeserver \% U \ Winprofile
Anmeldeskript = logon.cmd

[netlogon]
Pfad = / var / lib / samba / netlogon
schreibgeschützt = ja

[Profile]
Pfad = / var / lib / samba / profile
schreibgeschützt = nein
Maske erstellen = 0600
Verzeichnismaske = 0700

Weitere Informationen zu den SAMBA-Dokumenten .

LDAP

Die ordnungsgemäße Konfiguration eines LDAP-Servers ist nicht trivial (weder der SAMBA-Server IMHO), aber nachdem Sie einen konfiguriert haben ( OpenLDAP , FDS usw.), finden Sie hier einige gute Informationen zur Integration in SAMBA . Und genauer für RedHat .

Ich habe auch gehört, dass SAMBA 4 ein vollständiger Ersatz für Active Directory sein wird, aber wer weiß, wann das veröffentlicht wird.

Wie auch immer, ich weiß nicht, ob dies einfacher geworden ist als vor ungefähr 2 Jahren, aber ich hoffe es, weil ich nach ein paar Wochen Probezeit aufgegeben habe ... Vielleicht ist es Zeit, es noch einmal zu versuchen .

Damals war meine persönliche Vorliebe für FDS, weil es eine großartige Administrationskonsole hat und einfacher einzurichten war.

Edit : Ich habe mich gerade an eBox erinnert . Ich habe es nicht getestet, weil ich keine All-in-One-Lösungen mag, aber schauen Sie sich die Site an, wenn Sie dies tun (sie bietet viel mehr als einen Domänencontroller).

Ivan
quelle
2

Nicht ohne einen benutzerdefinierten Anmeldeanbieter (msgina-Ersatz) ...

Am besten richten Sie entweder einen Windows-Domänencontroller für Windows-Clients ein, bei dem Sie sich anmelden können (damit Sie Gruppenrichtlinien und andere nützliche Dinge verwenden können), und lassen Sie ihn mit Ihrem vorhandenen LDAP-Dienst synchronisieren (siehe Dienste für Unix). Oder verwenden Sie Samba und lassen Sie es Ihr LDAP-Verzeichnis zur Authentifizierung verwenden.

Oskar Duveborn
quelle