ADを使用してLinuxを認証するための現在のベストプラクティス(2013)
私の知る限り、Linuxホストの認証と承認としてActive Directoryを使用する3つの(一般的な)方法があります。
- LDAP
- Kerberos
- サンバ/ウィンバインド
どの方法がベストプラクティスであるかについての(現在の)コンセンサスはありますか?
そもそも各方法の長所/短所を完全に明確にしたことはありませんが、すべてのドキュメント/チュートリアルは異なる方法を述べており、それらの多くは日付が付けられておらず、特定の方法を使用している理由を説明しています。
私が現在使用しているアプローチは [〜#〜] sssd [〜#〜] です。それは非常に苦痛がなく、構成ファイルはきれいです。 SSSDは、インストール時に有効にすることも、authconfigコマンドUIを介して実行することもできます。最近、ローカル認証から最大200台のLinuxサーバーをSSSDに変換し、以下の手順を使用しました。
これは、Red Hatのようなシステム(RHEL、CentOS、Fedora)を想定しています...
1)SSSDをダウンロードします。
yum install sssd
2)。システムのauthconfig設定を変更します。
authconfig --enablesssd --ldapserver = ldap://dc1.mdmarra.local --ldapbasedn = "dc = mdmarra、dc = local" --enablerfc2307bis --enablesssdauth --krb5kdc = dc1.mdmarra.local --krb5realm = MDMARRA .LOCAL --disableforcelegacy --enablelocauthorize --enablemkhomedir --updateall
3)。 /etc/sssd/sssd.conf構成ファイルの内容を次のように更新します。
# sssd.conf
[domain/default]
ldap_id_use_start_tls = False
ldap_schema = rfc2307bis
ldap_search_base = dc=mdmarra,dc=local
krb5_realm = MDMARRA.LOCAL
krb5_server = dc1.mdmarra.local
id_provider = ldap
auth_provider = krb5
chpass_provider = krb5
ldap_uri = ldap://dc1.mdmarra.local,ldap://dc2.mdmarra.local
krb5_kpasswd = dc1.mdmarra.local,dc2.mdmarra.local
krb5_kdcip = dc1.mdmarra.local,dc2.mdmarra.local
cache_credentials = True
ldap_tls_cacertdir = /etc/openldap/cacerts
ldap_force_upper_case_realm = True
ldap_user_object_class = person
ldap_group_object_class = group
ldap_user_gecos = displayName
ldap_user_home_directory = unixHomeDirectory
ldap_default_bind_dn = [email protected]
ldap_default_authtok_type = password
ldap_default_authtok = fdfXb52Ghk3F
[sssd]
services = nss, pam
config_file_version = 2
domains = default
[nss]
filter_users = root,ldap,named,avahi,haldaemon,dbus,radiusd,news,nscd
[pam]
[Sudo]
[autofs]
[ssh]