คุณไม่จำเป็นต้องใช้ Samba, AD รองรับ Kerberos และ LDAP โดยตรง ไม่มีเหตุผลใดที่คุณจะใช้ซอฟต์แวร์ภายนอกในการแจกจ่ายส่วนใหญ่
สำหรับ Debian / Ubuntu คุณสามารถทำได้ด้วย libnss-ldap และ libpam-krb5 มีเทคนิคเล็กน้อยเพื่อให้ได้ 100% สิ่งนี้ถือว่าคุณมี "unixHomeDirectory" บรรจุอยู่สำหรับผู้ใช้ Linux กล่อง Linux ของคุณกำลังใช้ NTP ทั่วไปกับระบบ Windows ของคุณ (จำเป็นต้องใช้ Kerberos) และคุณตกลงกับการค้นหา NSS ข้อความธรรมดา (ไม่ใช่รหัสผ่าน แต่เป็นข้อมูลกลุ่มสมาชิกเป็นต้น - คุณยังสามารถ ใช้ TLS แต่การตั้งค่านั้นซับซ้อนกว่า) คุณไม่ควรมี pam_ldap เป็นรหัสผ่านหรือแหล่งข้อมูลรับรองความถูกต้องใน PAM เว้นแต่คุณจะตั้งค่าให้ใช้ TLS
/etc/ldap.conf
# LDAP Configuration for libnss-ldap and libpam-ldap.
# Permit host to continue boot process with out contacting LDAP server
bind_policy soft
# Define LDAP servers to use for queries, these must be Global Catalog servers
uri ldap://ldap.site.company.local
# Define root search location for queries
base dc=company,dc=local
#debug 1
# LDAP version, almost always going to be v3, it is quite mature
ldap_version 3
# Username used to proxy authentication. You can have this in a separate file owned by root for security OR use TLS/SSL (see man page)
# Do NOT use LDAP for authentication if you are using plain text binds, use Kerberos instead (and LDAP for authorization only). See libpam-krb5.
binddn cn=ldap-auth-svc,ou=ldap,ou=services,dc=site,dc=company,dc=local
# Password for proxy acct
bindpw SooperSekeretPazzwerd
# TCP port to perform queries on, 3268 is a Global Catalog port which will reply for all users in *.company.local
port 3268
# Search range scope (sub = all)
scope sub
# Tell the client to close TCP connctions after 30 seconds, Windows will do this on the server side anyways, this will prevent errors from showing up in the logs.
idle_timelimit 30
# Expect queries for group membership to return DN for group members instead of usernames (lets you use MSAD group membership seamlessly)
nss_schema rfc2307bis
# Filters - User accounts must have a UID >= 2000 to be recognized in this configuration and must have a unixHomeDirectory defined.
nss_base_group dc=company,dc=local?sub?&(objectClass=group)(gidNumber=*)
nss_base_user dc=company,dc=local?sub?&(objectClass=user)(!(objectClass=localputer))(uidNumber>=2000)(unixHomeDirectory=*)
nss_base_shadow dc=company,dc=local?sub?&(objectClass=user)(!(objectClass=localputer))(uidNumber>=2000)(unixHomeDirectory=*)
# Object Class mappings. You may want to have the posixAccount to map to "mail" and have users login with their email addresses, i.e. "nss_map_objectclass posixAccount mail".
nss_map_objectclass posixAccount user
nss_map_objectclass shadowAccount user
nss_map_objectclass posixGroup group
# Attribute mappings.
nss_map_attribute uniqueMember member
nss_map_attribute uid sAMAccountName
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute shadowLastChange pwdLastSet
# Attribute in LDAP to query to match the username used by PAM for authentication
pam_login_attribute sAMAccountName
# Filter for objects which are allowed to login via PAM
pam_filter objectclass=User
คุณไม่จำเป็นต้องแก้ไข /etc/krb5.conf สมมติว่ากล่อง Linux ของคุณกำลังใช้เซิร์ฟเวอร์ DNS ที่รู้เกี่ยวกับ AD (โซน _msdcs ที่มีระเบียน SRV ที่เหมาะสมสามารถแก้ไขได้)
/etc/nsswitch.conf ควรมี "files ldap" สำหรับผู้ใช้กลุ่มเงา
สำหรับ Red Hat โดยใช้ SSSD:
/etc/sssd/sssd.conf
[domain/AD]
id_provider = ldap
auth_provider = krb5
chpass_provider = krb5
access_provider = ldap
ldap_uri = ldap://ldap.company.local:3268/
ldap_search_base = dc=company,dc=com
ldap_default_bind_dn = cn=ldap-auth-svc,ou=ldap,ou=services,dc=site,dc=company,dc=local
ldap_default_authtok = SooperSekeretPazzwerd
ldap_schema = rfc2307bis
ldap_user_object_class = user
ldap_group_object_class = group
ldap_user_name = sAMAccountName
ldap_user_home_directory = unixHomeDirectory
enumerate = true
ldap_tls_reqcert = never
ldap_tls_cacertdir = /etc/openldap/cacerts
ldap_id_use_start_tls = False
cache_credentials = True
krb5_realm = SITE.COMPANY.COM
case_sensitive = false
[sssd]
services = nss, pam
config_file_version = 2
domains = AD
[nss]
filter_users = root,named,avahi,nscd