6.2. 使用身份管理将 Linux 系统间接集成到活动目录中
在间接集成中,Linux 系统首先连接到中央服务器,然后连接到 Active Directory (AD)。间接集成使管理员能够集中管理 Linux 系统和策略,而 AD 的用户则可透明地访问 Linux 系统和服务。
- 基于与 AD 的跨林信任进行集成
身份管理 (IdM) 服务器充当控制 Linux 系统的中央服务器。建立与 AD 的跨域 Kerberos 信任,使 AD 中的用户能够登录访问 Linux 系统和资源。IdM 作为一个独立的林,利用了 AD 支持的林级信任。
使用信任时:
- AD 用户可以访问 IdM 资源。
- IdM 服务器和客户端可以解析 AD 用户和组群的身份。
- AD 用户和组根据 IdM 定义的条件访问 IdM,如基于主机的访问控制。
- AD 用户和组仍在 AD 端进行管理。
- 基于同步进行集成
这个方法基于 WinSync 工具。WinS 同步复制协议可将用户帐户从 AD 与 IdM 同步。
警告WinSync 已不再在 Red Hat Enterprise Linux 8 中活跃开发。间接整合的首选解决方案是跨林信任。
基于同步的集成限制包括:
- 组没有从 IdM 和 AD 同步。
- 用户在 AD 和 IdM 中会重复。
- WinSync 只支持单个 AD 域。
- AD 中只有一个域控制器可用来将数据同步到一个 IdM 实例。
- 用户密码必须同步,这需要在 AD 域的所有域控制器中安装 PassSync 组件。
- 配置同步后,所有 AD 用户必须在 PassSync 同步前手动更改密码。
