Интеграция Linux с доменными службами Active Directory
Существует несколько способов интеграции виртуальных машин Linux с Active Directory. Три основных варианта основаны на встроенных или свободно доступных компонентах:
- Проверка подлинности и авторизация LDAP. Проверка подлинности и авторизация LDAP используют соответствие Active Directory стандартам LDAP. Приложения, которые реализуют NSS (переключение службы имен) и PAM (подключаемый модуль проверки подлинности), могут использовать модули LDAP для взаимодействия с конечной точкой LDAP Active Directory. Пользователи проверки подлинности LDAP не могут изменить пароль из клиента Linux. Рассмотрим процесс изменения пароля, соответствующий политике истечения срока действия пароля, предоставив пользователям альтернативный метод для изменения пароля или используя механизм автоматического обновления пароля.
- Проверка подлинности Kerberos 5 и авторизация LDAP При использовании проверки подлинности Kerberos NSS по-прежнему использует протокол LDAP и работает так же, как с проверкой подлинности LDAP, но PAM использует модуль pam_krb5 для проверки подлинности по центру распространения ключей Kerberos (KDC), реализованному в Active Directory. Это популярная конфигурация, поскольку она безопасно работает с готовыми компонентами и предоставляет возможность смены пароля.
- Проверка подлинности и авторизация Winbind. Winbind — это более сложное решение, которое требует запуска управляющей программы Winbind в системах Linux. Winbind предоставляет более сложные технические возможности, такие как поддержка RPC и NTLM, и не требует установки каких-либо определенных компонентов (таких как службы для UNIX) для проверки подлинности контроллеров домена AD DS. Winbind является частью пакета взаимодействия Samba, который также предоставляет возможности общего доступа к файлам по протоколу SMB. Если вы планируете использовать SMB, то логично выбрать Winbind.