1.3. 间接集成
间接集成的主要优点是集中管理与这些系统相关的 Linux 系统和策略,同时使来自 Active Directory(AD)域的用户能够透明地访问 Linux 系统和服务。间接集成有两种不同的方法:
- 基于信任的解决方案
- 建议的做法是利用红帽企业 Linux 中的身份管理(IdM)作为中央服务器来控制 Linux 系统,然后使用 AD 建立跨域 Kerberos 信任,使 AD 中的用户能够登录并使用单点登录来访问 Linux 系统和资源。这个解决方案使用 Kerberos 功能在不同的身份源间建立信任。IdM 作为一个独立的林,利用了 AD 支持的林级信任。在复杂的环境中,单个 IdM 林可以连接到多个 AD 林。这个设置可以为机构的不同功能更好地分离任务。AD 管理员可以专注于与用户相关的用户和策略,而 Linux 管理员完全控制 Linux 基础架构。在这种情况下,IdM 控制的 Linux 域类似于 AD 资源域或域,但其中包含 Linux 系统。注意在 Windows 中,每个域都是一个 Kerberos 域(realm)和一个 DNS 域(domain)。由域控制器管理的每个域都需要拥有自己的专用 DNS 区域。IdM 作为林受 AD 信任时也是如此。AD 期望 IdM 有自己的 DNS 域。要使信任设置正常工作,DNS 域需要专用于 Linux 环境。请注意,在信任环境中,IdM 允许您使用 ID 视图为 IdM 服务器上的 AD 用户配置 POSIX 属性。详情请查看:
- 系统级身份验证指南中的 SSSD 客户端 视图
- 基于同步的解决方案
- 基于信任的解决方案的另一种方法是利用用户同步功能(IdM 或 Red Hat Directory Server(RHDS)),允许用户帐户(以及 RHDS 以及组帐户)从 AD 同步到 IdM 或 RHDS,但不会朝着相反的方向同步。用户同步有一些限制,包括:
- 用户重复
- 需要同步密码,这需要 AD 域中所有域控制器上有一个特殊组件
- 要捕获密码,所有用户必须首先手动更改密码
- 同步只支持单个域
- AD 中只能有一个域控制器用于将数据同步到 IdM 或 RHDS 的一个实例
在某些集成场景中,用户同步可能是唯一可用的选项,但通常不鼓励使用同步方法,而是偏向于基于跨域信任的集成。