1.2. 直接集成
您需要两个组件才能将 Linux 系统连接到 Active Directory(AD)。个组件与中央身份和身份验证源交互,本例中为 AD。其他组件检测到可用的域,并将第一个组件配置为处理正确的身份源。有不同的选项可用于检索信息和对 AD 进行身份验证。其中包括:
- 原生 LDAP 和 Kerberos PAM 和 NSS 模块
这些模块包括nss_ldap和、pam_ldappam_krb5。由于 PAM 和 NSS 模块被加载到每个应用程序进程中,它们直接影响执行环境。如果没有缓存、离线支持或对访问凭证的充分保护,则不鼓励在 NSS 和 PAM 中使用基本 LDAP 和 Kerberos 模块,因为其功能有限,不鼓励使用 PAM。- Samba Winbind
- Samba Winbind 一直是将 Linux 系统连接到 AD 的传统方式。winbind 模拟 Linux 系统上的 Windows 客户端,并可与 AD 服务器通信。请注意:
- 如果您将 Samba 配置为域成员,则必须运行 Winbind 服务。
- 在多林 AD 设置中直接与 Winbind 集成需要双向信托。
- 远程林必须信任本地林,以确保
idmap_ad插件正确处理远程林用户。
- 系统安全性服务守护进程(SSSD)
- SSSD 的主要功能是通过通用框架访问远程身份和身份验证资源,为系统提供缓存和离线支持。SSSD 高度可配置;它提供 PAM 和 NSS 集成,以及用于存储本地用户的数据库,以及从中央服务器检索到的核心和扩展用户数据。SSSD 是将 Linux 系统与您选择的身份服务器连接的建议组件,可以是 Active Directory、Red Hat Enterprise Linux 中的 Identity Management(IdM),或者任何通用 LDAP 或 Kerberos 服务器。请注意:
- 默认情况下,直接与 SSSD 集成只能在单个 AD 林中正常工作。
- 远程林必须信任本地林,以确保
idmap_ad插件正确处理远程林用户。
从 Winbind 转换到 SSSD 的主要原因是,SSSD 可用于直接和间接集成,并允许在无需大量迁移成本的情况下从一种集成方法切换到另一种集成方法。为直接将 Linux 系统与 AD 集成,配置 SSSD 或 Winbind 的最简便方法是使用
realmd 服务。它允许调用者以标准的方式配置网络身份验证和域成员资格。realmd 服务自动发现有关可访问域和域的信息,不需要高级配置加入域或域。
直接集成是将 Linux 系统引入 AD 环境的简单方法。但是,随着 Linux 系统份额的增长,部署通常会看到更好地集中管理身份相关策略(如基于主机的访问控制、sudo 或 SELinux 用户映射)的需求。首先,可以在本地配置文件中维护 Linux 系统这些方面的配置。然而,随着越来越多的系统,配置文件的分发和管理借助红帽卫星等调配系统更易于分发和管理。这种方法可产生更改配置文件并分发配置文件的开销。当直接集成不再扩展时,考虑下一节中描述的间接集成更为有用。
1.2.1. 支持的用于直接集成的 Windows 平台
您可以使用以下林和域功能级别将您的 Linux 机器直接与 Active Directory 域集成:
在以下支持的操作系统中使用上述功能级别测试直接集成:
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
