使用Active Directory执行Linux客户端身份验证
| Winbind 三种身份验证,我们可以采用三种不同的实现策略允许Linux计算机使用Active Directory来进行身份验证.
使用LDAP身份验证使用Active Directory进行身份验证的最简单但成效最低的方法是,将PAM 配置为使用 LDAP 身份验证,如图1 所示.虽然 Active Directory 属于 LDAPv3 服务,但 Windows 客户端使用Kerberos(回退到 NTLM)而不是 LDAP 进行身份验证. LDAP身份验证(称为 LDAP 绑定)通过网络以明文形式传递用户名和密码.对于大多数用途来说,这不仅不安全,
图1 使用 LDAP 对 Active Directory 进行身份验证
降低以明文形式传递凭据的风险的唯一方法是使用类似于SSL 的协议加密客户端与Active Directory 进行通信所使用的通道.这绝对可行,但会增加在DC和Linux计算机上管理 SSL 证书的负担.此外,使用 PAM LDAP 模块并不支持更改已重置的或过期的密码. 使用 LDAP 和 Kerberos 利用 Active Directory 进行 Linux 身份验证的另一种策略是,将 PAM 配置为使用 Kerberos 身份验证,以及将 NSS 配置为使用 LDAP 查找用户和组信息,如图 2 所示.此方案的优点是,它相对来说比较安全,
图2 使用LDAP和Kerberos对Active Directory进行身份验证
图3 使用 Winbind 对 Active Directory 进行身份验证 使RHEL5 对 Active Directory 进行身份验证基本上需要下列五个不同的步骤: ·查找并下载适当的 Samba 以及其他依存组件. ·构建 Samba. ·安装并配置 Samba. ·配置 Linux,特别是 PAM 和 NSS. 拥有帝国一切,皆有可能。欢迎访问phome.net ·配置 Active Directory. 本文的下面几节将详细介绍这些步骤. 查找适当的软件 Linux 与 Windows 之间最大的区别之一是,Linux 由一个小型操作系统内核和大型的可单独下载和安装的组件集构成.这虽然可以创建为某些任务而进行优化的特定 Linux 配置,但也会使服务器的配置和管理变得极为复杂.不同的发布版本处理这种情况的方式也不一样.Red Hat(及其非商用版 Fedora)使用 Red Hat Package Manager (RPM) 来安装和管理这些组件. 适用于 Red Hat 的 Linux 组件包含两种形式.RPM 文件包含针对组件版本、Linux 发布版本和 CPU 体系结构的特定组合而预先编译和构建的二进制文件.因此,您可以下载和安装二进制文件,例如,针对在 Intel x86 体系结构 CPU 上运行的 Fedora 版本 10 构建的通用 UNIX 打印系统 (Common UNIX Printing System, CUPS) 的 1.3.8-5 版本.假如有十多种不同的 CPU 体系结构、100 多个 Linux 发布版本,还有上千个程序包和版本,则要选择的二进制 RPM 的数量之多便可想而知. 另一方面,源 RPM 文件包含给定程序包的实际源代码.但您需要自己下载和安装源、配置构建选项,以及编 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
也是无法接受的.
您会被迫挑选一组特定的 DC 来进行身份验证.对于管理即将过期的 Active Directory 密码或是直至最近的适当组成员身份查询,它提供的方法也不是很直观.
与Active Directory 的集成的增强,我选择在Red Hat Enterprise Linux 5 (RHEL5) 上使用Winbind 来进行我的Linux与Active Directory 集成项目.RHEL5是最新的商用Red Hat Linux 发布版本,
