第 1 章 集成 ActiveActive Directorynbsp;Directory 和 Linux 环境的方法
IT 环境具有.它们中的系统具有某种目的。集成两个单独的基础架构需要评估每种环境的用途,并了解它们如何和在哪里交互。
1.1. 定义 Windows 集成
Windows 集成可能意味着完全不同,具体取决于 Linux 环境和 Windows 环境之间的必要交互。这可能意味着单个 Linux 系统已加入 Windows 域,这可能意味着 Linux 域已配置为 Windows 域的对等点,或者可能只是意味着在环境间复制信息。
Windows 域和 Linux 系统之间存在多个联系人。这些要点各自围绕识别不同域对象(用户、组、系统、服务)以及该标识中使用的服务。
用户身份和身份验证
- 位于什么位置的用户帐户;位于 Windows(AD 域)或中央身份和身份验证服务器上运行的中央身份验证系统,或在 Linux 上运行的中央身份和身份验证服务器?
- 用户在 Linux 系统上如何进行身份验证;如何通过本地 Linux 身份验证系统或在 Windows 上运行的中央身份验证系统?
- 如何为用户配置组成员资格?如何确定组成员身份?
- 用户是否会使用用户名/密码对、Kerberos 票据、证书或方法组合进行身份验证?
- 访问 Linux 计算机上的服务需要 POSIX 属性。这些属性是如何存储的:它们是在 Windows 域中设置、在本地 Linux 系统上配置,还是动态映射(用于 UID/GID 编号和 Windows SID)?
- 哪些用户将访问哪些资源?Windows 定义的用户是否会访问 Linux 资源?Linux 定义的用户是否会访问 Windows 资源?
在大多数环境中,ActiveActive Directorynbsp;Directory 域是用户信息的核心中心,这意味着,Linux 系统需要某种方式来访问该用户信息以进行身份验证。然后,真正的问题是如何获取该用户信息,以及该信息中有多少可供外部系统使用。Linux 系统(POSIX 属性)和 Linux 用户(认证应用程序管理员)所需的信息与如何管理该信息之间也需要平衡。
主机和服务主体
- 将访问哪些资源?
- 需要哪些身份验证协议?
- 如何获取 Kerberos 票据?如何请求或验证 SSL 证书?
- 用户是否需要访问单个域或 Linux 和 Windows 域?
DNS 域、查询和名称解析
- DNS 配置是什么?
- 是否存在单个 DNS 域?是否有子域?
- 系统主机名将如何解析?
- 如何配置服务发现?
安全策略
- 访问控制指令在哪里设置?
- 每个域配置了哪些管理员?
更改管理
- 系统添加到域中的频率如何?
- 如果更改了与 Windows 集成相关的底层配置(如 DNS 服务),这些更改是如何传播的?
- 配置是通过域相关的工具还是调配系统维护的?
- 集成路径是否需要在 Windows 服务器上进行其他应用程序或配置?
与域中哪些元素集成同样重要,是如何维护集成的。如果特定的集成工具是手动的,但环境有许多系统频繁更新,那么从维护角度来看,一个工具可能无法用于该环境。
以下小节概述了与 Windows 集成的主要场景。在直接集成中,Linux 系统连接到 Active Directory,无需任何额外的压力。另一方面,间接集成涉及集中管理 Linux 系统并将整个环境连接到服务器到服务器级别的 Active Directory 的身份服务器。
