第 6 章 计划与 AD 集成
以下小节介绍了将 Red Hat Enterprise Linux 与 Active Directory (AD) 集成的选项。
6.1. Linux 系统直接集成到活动目录中
在直接集成中,Linux 系统直接连接到活跃目录(AD)。可能会有以下类型的集成:
- 与系统安全性服务守护进程(SSSD)集成
SSSD 可将 Linux 系统连接到不同的身份和验证存储: AD、Identity Management(IdM)或者通用 LDAP 或 Kerberos 服务器。
与 SSSD 集成的主要要求:
- 当与 AD 集成时,SSSD 默认只能在单个 AD 林中正常工作。对于多林设置,请配置手动域枚举。
-
远程 AD 林必须信任本地林,以确保
idmap_ad
插件正确处理远程林用户。
SSSD 支持直接和间接集成。它还允许在不需要大量迁移成本的情况下,从一个集成方法切换到另一个集成方法。
- 与 Samba Winbind 集成
Samba 套件的 Winbind 组件会在 Linux 系统中模拟 Windows 客户端并与 AD 服务器沟通。
与 Samba Winbind 集成的主要要求:
- 在多林 AD 设置中直接与 Winbind 集成需要双向信托。
-
Linux 系统本地域的双向路径必须存在于远程 AD 林中的用户域中,以允许
idmap_ad
插件提供远程 AD 域中用户的完整信息。
建议
- SSSD 满足 AD 集成的大部分用例,并提供强大的解决方案作为客户端系统和不同类型的身份和身份验证提供商 - AD、IdM、Kerberos 和 LDAP 之间的通用网关。
- 建议在您要在其上部署 Samba FS 的 AD 域成员服务器中部署 winbind。