ActiveDirectory를 사용하여 Unix/Linux 사용자 계정을 관리하는 가장 좋고 안정적인 방법은 무엇입니까? 아니면 이것이 가능합니까?
답변1
나는 매우 매우 매우 (강하게) 그것을 사용하는 것이 좋습니다또한 열려 있음가서 이것을 해보세요. 내가 그들에 대해 이야기할 때마다 나는 고용된 바보처럼 들리지만, 그렇지 않습니다. 정말 너무 좋아요.
기본적으로 소프트웨어를 설치하고(RPM 및 DEB 설치 프로그램이 있음) "domainjoin-cli domain.com adminuser"를 실행하고 "adminuser"의 비밀번호를 입력하면 컴퓨터가 AD 도메인의 일부가 됩니다.
제가 한 한 가지는 구성을 변경한 것입니다. 사용자가 컴퓨터에 연결할 때마다 도메인을 입력할 필요가 없도록 기본 도메인 가정 설정을 켰습니다.
이점은 엄청납니다. AD 자격 증명을 사용하여 로그인하면 UID 및 GID가 해시 값을 기반으로 할당됩니다. 이는 전체 인프라에서 동일함을 의미합니다. 이는 NFS와 같은 기능이 작동할 수 있음을 의미합니다. 또한 PAM도 구성되어 있으므로 Samba, Apache 등에 대한 인증도 쉽습니다.
Likely Open 덕분에 제가 제공하는 모든 웹 기반 서비스는 AD 인증을 받지 않습니다.
답변2
AD에 대해 논의하고 있으므로 여기서는 엔터프라이즈 환경을 가정하겠습니다.
Active Directory 기반 사용자 계정을 실행하는 수백 대의 RHEL3, 4 및 5 시스템이 있습니다. 모두 nss_ldap 및 pam_krb5를 사용하여 동일한 구성을 실행합니다. 매우 잘 작동하며 기본 지원 도구를 사용하고 견고하기 때문에 표준 지원 옵션으로 모든 상용 Linux 공급업체에서 지원됩니다. 결국 AD는 벤더를 위한 표준화되고 지원하기 쉬운 프로토콜인 Kerberos와 LDAP일 뿐입니다.
이 방법으로 AD를 사용하여 해결할 수 없는 문제는 아직까지 발생하지 않았습니다. Scott Lowe의 문서여기처음에 솔루션을 설계할 때 많은 도움을 받았습니다. 완벽하지는 않지만 시작하는 데 도움이 될 것입니다. Scott의 아이디어는 LDAP용 바인딩 계정을 만드는 것이었지만 별로 마음에 들지 않았습니다. AD에 가입된 컴퓨터는 자체 자격 증명을 사용하여 LDAP 쿼리를 수행할 수 있는데, 이는 나에게 묻는다면 훨씬 더 합리적입니다.
요구 사항에 따라 한 걸음 물러나 지원되는 솔루션이 필요한지 고려할 수도 있습니다. "동일"은 좋을 수도 있지만 꽤 비쌉니다. 포함된 도구를 사용하세요모든기본적으로 지원되는 Linux 배포판은 다음과 같습니다.매우 작은조금 더 복잡하지만(그러나 훌륭한 Linux 관리자를 놀라게 해서는 안 됩니다), 그만큼 좋습니다(또는 요구 사항에 따라 더 나을 수도 있습니다).
어떻게 했는지 더 자세히 적을 수 있지만 지금은 시간이 없습니다. 이것이 도움이 될까요?
답변3
정확히 AD는 아니지만 여기에서 비슷한 질문에 대한 좋은 답변을 얻었습니다.
답변4
이것은 매우 실행 가능하며 완료되었습니다.
누군가 이미 언급했듯이 직접 통합도 가능합니다. 하지만...
한번 사용해 보고 싶다면 winbindSamba 프로젝트에서 설치하여 동일한 경험을 제공할 수도 있습니다. winbind를 사용하면 컴퓨터가 도메인 구성원이 되며 Active Directory의 사용자 계정 UID/GID 설정을 투명하게 매핑하고 할당할 수 있습니다.