3 votos

Mejores prácticas actuales para el uso de AD a auth Linux (2013)

En cuanto yo sepa, hay 3 maneras (común) para utilizar Active Directory como la autenticación y autorización para hosts Linux:

  1. LDAP
  2. Kerberos
  3. Samba/Winbind

¿Hay un consenso (actual) en el que el método es la mejor práctica?

Nunca he sido completamente claro sobre las ventajas y desventajas de cada método, pero cada documento/tutorial dice de una manera diferente y no muchos de ellos son anticuados o explican por qué están usando un método particular.

5voto

Tina Puntos 21

El enfoque que yo uso ahora es SSSD. Es bastante indoloro y los archivos de configuración están limpios. SSSD puede ser activada en el momento de instalar o simplemente ejecutar a través de la authconfig de comandos de interfaz de usuario. Recientemente he convertido ~200 servidores Linux para SSSD de local auth y utiliza los pasos a continuación.

Esto supone un Sombrero Rojo-como el sistema (RHEL, CentOS, Fedora)...

1) Descargar SSSD.

yum install sssd

2). Modificar el sistema de authconfig configuración.

authconfig --enablesssd --ldapserver=ldap://dc1.mdmarra.local --ldapbasedn="dc=mdmarra,dc=local" --enablerfc2307bis --enablesssdauth --krb5kdc=dc1.mdmarra.local --krb5realm=MDMARRA.LOCAL --disableforcelegacy --enablelocauthorize --enablemkhomedir --updateall

3). Actualización el /etc/sssd/sssd.conf archivo de configuración de contenido con el siguiente:

# sssd.conf

[domain/default]

ldap_id_use_start_tls = False
ldap_schema = rfc2307bis
ldap_search_base = dc=mdmarra,dc=local
krb5_realm = MDMARRA.LOCAL
krb5_server = dc1.mdmarra.local
id_provider = ldap
auth_provider = krb5
chpass_provider = krb5
ldap_uri = ldap://dc1.mdmarra.local,ldap://dc2.mdmarra.local
krb5_kpasswd = dc1.mdmarra.local,dc2.mdmarra.local
krb5_kdcip = dc1.mdmarra.local,dc2.mdmarra.local
cache_credentials = True
ldap_tls_cacertdir = /etc/openldap/cacerts
ldap_force_upper_case_realm = True
ldap_user_object_class = person
ldap_group_object_class = group
ldap_user_gecos = displayName
ldap_user_home_directory = unixHomeDirectory
ldap_default_bind_dn = ldapuser@mdmarra.local
ldap_default_authtok_type = password
ldap_default_authtok = fdfXb52Ghk3F

[sssd]
services = nss, pam
config_file_version = 2

domains = default

[nss]
filter_users = root,ldap,named,avahi,haldaemon,dbus,radiusd,news,nscd

[pam]

[sudo]

[autofs]

[ssh]

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: