Question Comment puis-je faire en sorte qu'une machine Linux rejoigne un domaine Windows?


Désolé si j'utilise mal les termes ici; En réalité, je ne connais pas grand chose à propos d'Active Directory et des technologies associées. En gros, j'ai un ordinateur Linux et j'aimerais qu'il (ou mon utilisateur sur cet ordinateur) soit associé à mon utilisateur sur le domaine, afin que je puisse naviguer sur le réseau et sur tout ce que Windows possède.

Est-ce faisable? Que dois-je examiner pour faire quelque chose comme ça?


11
2017-10-21 15:53


origine




Réponses:


Il y a trois options principales:

  • Kerberos plus LDAP - Il s'agit d'une option de niveau inférieur dans laquelle vous configurez Linux pour utiliser vous-même les protocoles sous-jacents d'Active Directory. Décrit dans cette réponse.
  • Samba - Samba est le standard de facto pour joindre une machine Linux à un domaine Windows.
  • Services Microsoft Windows pour Unix inclut des options permettant de fournir des noms d’utilisateur à Linux / UNIX via NIS et de synchroniser les mots de passe sur des machines Linux / UNIX. Vous utiliseriez ceci si vous vouliez faire tout ce qui est possible à partir de Windows ou si vous aviez une infrastructure Linux / UNIX existante que vous vouliez lier à Windows; pour la plupart des environnements, cependant, une des autres solutions serait meilleure.

Il existe également quelques autres options disponibles: De même (apparemment plus disponible), Centrify, SSSD ... cette question.


8



+1 pour pareil. De même, Open m'a permis de gagner des centaines d'heures dans l'administration des utilisateurs. J'ai spécifiquement construit une infrastructure AD pour mes machines Linux. Bien, beaucoup, beaucoup mieux. - Matt Simmons
De même, semble être mort; au moins, votre lien renvoie à une entreprise indépendante et la recherche n’a pas beaucoup de résultats. - detly
De même a été acheté par Isilon (maintenant DellEMC) pour inclusion dans leur NAS. Je suppose qu'ils ont supprimé le produit autonome. - Dan Pritts


Deux façons que je connais. Depuis l'hôte Linux, vous pouvez essayer ceci:

root # net ads join -UAdministrator% password

Ou vous pouvez simplement créer l'objet ordinateur dans Active Directory.

Comme tout le monde le dit, vous devrez ajouter les paquets samba pour que cela se produise.

http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/domain-member.html


1





Je suggérerais de regarder un excellent paquet du domaine public appelé Samba. Cela pourrait très bien faire partie de la distribution Linux que vous avez installée.


0





Afin de bénéficier de tous les avantages et de la sécurité d'AD, vous aurez besoin d'une solution impliquant Kerberos (pour l'authentification) et LDAP (pour l'autorisation). Il y a un excellent tutoriel ici que j'ai utilisé dans le passé et cela fonctionne incroyablement bien. C'est plus complexe à implémenter que d'utiliser simplement samba / winbindd, mais vous aurez l'avantage de pouvoir utiliser les attributs UNIX dans AD pour gérer vos utilisateurs Linux, vos groupes, vos uids, vos gids, etc.


0



Je crois que Samba / Winbind peut également utiliser les attributs UNIX d’AD, à l’aide du backend idmap_ad (samba.org/samba/docs/man/manpages-3/idmap_ad.8.html) et le paramètre "winbind nss info" smb.conf (samba.org/samba/docs/man/manpages-3/smb.conf.5.html#id2564796) réglage. - Josh Kelley
Heh, nouvelle pour moi :-) C'est une fonctionnalité intéressante à avoir. Je suppose que je préfère toujours la sécurité apportée par Kerberos, mais pour des configurations plus simples, ce sera probablement très bien. - EEAA
Je ne trouve pas ce tutoriel excellent du tout. Par exemple, il est indiqué "Assurez-vous que les bibliothèques Kerberos appropriées, OpenLDAP, pam_krb5 et nss_ldap, sont installées. Si elles ne sont pas installées, installez-les.", Sans plus de détails. - Frank H.
@FrankH. Vous remarquerez que cette réponse a 7 ans. Si vous avez un meilleur tutoriel auquel vous pouvez accéder, éditez bien ma réponse en conséquence. Cependant, si vous êtes un administrateur système linux, être capable d'installer des paquets sans instructions étape par étape est l'une des premières choses à apprendre. - EEAA
@FrankH. Vous êtes un professionnel Vous ne pouvez pas raisonnablement vous attendre à faire votre travail en suivant des instructions pas à pas parfaitement détaillées pour chaque tâche que vous devez effectuer. Un certain niveau d'initiative est nécessaire pour sortir et réellement apprendre les systèmes d'exploitation que vous utilisez. Si vous ne pouvez pas ou ne voulez pas faire cela, alors engagez quelqu'un pour vous aider. Il n'y a pas de honte à faire ça. - EEAA


mêmes conseils http://www.cyberciti.biz/tips/how-do-i-join-a-windows-2003-active-directory-domain-from-linux-system.html


0



Également un non-tutoriel qui vous indique simplement ce qu'il faut faire en termes très généraux. - Frank H.


Samba / De même, c'est exagéré.

Configurez pam_krb5 en vous authentifiant auprès du KDC du domaine AD.


0