Linux
发布时间:2022-04-01 发布网站:大佬教程 code.js-code.com
大佬教程收集整理的这篇文章主要介绍了使用AD / Kerberos进行身份验证/授权的Linux服务器是否需要计算机帐户?,大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
概述
我对使用Active Directory(AD)和Kerberos的 Linux服务器是否需要创建计算机帐户感到困惑? 作为计算机的Linux服务器是否需要加入AD域,并且这样做有一个计算机帐户才能从AD获得身份验证/授权服务? 以下是一些要求: >能够使用AD进行基于用户和组成员身份的身份验证 来自Linux服务器. >能够将本地Linux UID / GID号码映射到AD用户和组 名称(今天我
我对使用Active Directory(AD)和Kerberos的
Linux服务器是否需要创建计算机帐户感到困惑?
作为计算机的Linux服务器是否需要加入AD域,并且这样做有
一个计算机帐户才能从AD获得身份验证/授权服务?
@H_
197_17@以下是一些要求:
@H_
197_17@>能够使用AD进行基于
用户和组成员身份的身份验证
来自Linux服务器.
>能够将本地Linux UID / GID号码映射到AD
用户和组
名称(今天我们使用非AD LDAP服务器,我们为
用户和组帐户保留UID / GID号码.
理想情况下,我想继续这种做法).
>能够将Linux Sudoer权限映射到AD组.
>使用开源或社区工具/
插件,如SSSD而不是
像Centrify这样的付费商业产品.
@H_
197_17@我担心在AD中为基于私有云的服务器创建/
删除大量Linux计算机帐户的痛苦可能不会那么长;但我希望使用AD的中央
用户帐户商店的好处.
@H_
197_17@笔记:
我在2008R2
功能级别使用R
Hel和Centos 6-7 linux服务器以及Windows Server 2012和AD.
解决方法@H_450_35@
这里有两个不同的
考虑因素:
1)身份验证(密码验证)
2)授权(身份映射/组成员资格等)
@H_
197_17@对于客户:
您可以通过匿名客户端(无域加入/主机信用)通过Kerberos进行身份验证(密码检查).但是,您
无法使用host-creds(/etc/krb5.keytab)执行GSSAPI SSO和KDC验证.
@H_
197_17@对于授权,您需要能够对AD-DC进行LDAP绑定/查找.
通常,AD不允许匿名LDAP绑定,因此您需要某种客户端凭据.要么明确创建&维护服务帐户或主机信用(由域加入创建/维护).
@H_
197_17@在ldap.conf或sssd.conf
文件中,您可以列出显式服务帐户信用或告诉它使用host-cred
s.如果您有主机信用并在sssd中使用’ad’id_provider,您将获得诸如
自动主机信誉维护等优势.
@H_
197_17@请注意,如果要将AD用于授权服务,则需要将rfc2307样式信息(EG uid
number,gid
number等)
添加到要在Unix / Linux客户端上使用的每个
用户帐户.
@H_
197_17@对于服务器:
如果他们要提供任何基于Kerberized / GSSAPI的服务,那么他们必须拥有主机信用(加入域)并在AD的计算机帐户中拥有有效的UPN / SPN记录.将AD视为提供Kerberos KDC
功能.
@H_
197_17@例如:如果你有
一个Kerberized NFSv4
文件服务器,那么不仅需要
一个“host / F.Q.D.N”SPN账号中需要
一个“nfs / F.Q.D.N”SPN.在服务器上的krb5.keytab
文件中.
大佬总结
以上是大佬教程为你收集整理的使用AD / Kerberos进行身份验证/授权的Linux服务器是否需要计算机帐户?全部内容,希望文章能够帮你解决使用AD / Kerberos进行身份验证/授权的Linux服务器是否需要计算机帐户?所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。
