web-dev-qa-db-ja.com

ActiveDirectoryを使用したID管理

ActiveDirectoryを使用してUnix/Linuxユーザーアカウントを管理するための最良の、または最も信頼できる方法は何ですか?または、これは実現可能ですか?

6
Jordan S. Jones

これを行うには、 Likewise Open を使用することを非常に強く(強く)お勧めします。それらについて話すたびに、私は有料のサクラのように聞こえますが、そうではありません。それは本当にとても良いです。

基本的に、ソフトウェアをインストールし(痛みがなく、RPMとDEB intallerがあります)、「domainjoin-cli domain.com adminuser」を実行し、「adminuser」のパスワードを入力すると、マシンはADドメインの一部になります。

私が変更することの1つは、構成にあります。ユーザーがマシンに接続するたびにドメインを入力する必要がないようにするため、デフォルトのドメイン設定を想定するをオンにします。

メリットは計り知れません。 AD資格情報を使用してログインすると、UIDとGIDはハッシュに基づいて割り当てられます。つまり、インフラストラクチャ全体で同じです。これは、NFSのようなものが機能することを意味します。さらに、同様にPAMを構成するため、SambaやApacheなどを認証するのは簡単です。

Likely Openのおかげで、ADに対して認証されていないネットワークベースのサービスは1つもありません。

4
Matt Simmons

ADについて話しているので、ここではエンタープライズ環境を想定します。

Active Directoryベースのユーザーアカウントで実行されているRHEL3、4、および5のボックスが数百あります。それらはすべて、nss_ldapとpam_krb5を使用して同じ構成を実行します。それは見事に機能し、すぐに使えるツールを使用し、堅固であるため、標準のサポートオプションですべての商用Linuxベンダーによってサポートされています。結局のところ、ADは単なるKerberosとLDAPであり、ベンダーにとっては、これらは標準化された、簡単にサポートできるプロトコルです。

このADの使い方で解決できない問題はまだ発生していません。 Scott Loweのドキュメント ここ 最初にソリューションを設計するときに、私はかなり役に立ちました。それは完璧ではありませんが、それはあなたが始めるのを助けるでしょう。スコットのアイデアは、LDAPのバインドアカウントを作成することですが、私はそれほど好きではありません。 ADに参加しているマシンは、独自の資格情報を使用してLDAPクエリを実行できます。これは、私に言わせれば非常に賢明です。

要件によっては、一歩下がって、サポートされているソリューションが必要かどうかを検討することをお勧めします。同様にニースかもしれないので、それはかなり高価です。 everyLinuxディストリビューションにデフォルトで付属しているためサポートされているツールを使用すると、tinyもう少し複雑ですが(ただし、優れたLinux管理者を怖がらせることはありません)、同じくらい優れています(または、要件によってはより優れている場合もあります)。

私はこれをどのように行ったかについてもう少し詳しく書くことができましたが、今はそのための時間がありません。それは助けになりますか?

4
wzzrd

正確にはADではありませんが、ここで同様の質問に対する良い答えが得られました。

2
Pablo

それは非常に実行可能であり、すでに行われています。

誰かがすでに述べたように、同様にあなたに直接統合を与えるでしょう。しかしながら...

思い切ってやりたい場合は、Sambaプロジェクトからwinbindをインストールすることもできます。これにより、同じエクスペリエンスが得られます。 winbindを使用すると、マシンがドメインメンバーになります...また、Active Directoryのユーザーアカウントを透過的にマッピングし、UID/GID設定を割り当てることができます。

0
Avery Payne

マーケティングの話は割愛しますが、CentrifyExpressを試してみてください。 LinuxとMacをADに参加させるための無料のツールです。 http://www.centrify.com/express/download-centrify-express.asp

0
ryan

ActiveDirectoryに対するPAMLDAPは正常に機能するはずです。

0
geoffc