基于Linux的域管理解决方案？

Question

使用Windows Server家族的任何成员，我可以设置一个活动目录，并为大型计算机提供一个用户池;对给定域中的任何共享资源（包括对客户端计算机的访问等）都可以授予/删除访问权限。

使用Linux来管理多用户，多计算机环境有什么类似（并且普遍）的解决方案？他们的优点/缺点是什么？他们如何与Windows进行互操作？

Answer 1

不知道这是你的想法，但Linux w/Samba可以充当Windows桌面的域控制器。例如，请参阅HowToForge上的SAMBA (Domain Controller) Server For Small Workgroups。这适用于文件/打印共享等

对于一些更类似于微软的活动目录，你可以检查出Red Hat Directory Server：

红帽目录服务器是集中应用 设置基于LDAP服务器，用户配置文件，组数据，策略以及访问控制信息 整合到独立于操作系统的基于网络的注册表中。

如果成本是一个问题，有一个免费的社区版本的Fedora目录服务器版本。

另一个潜在的产品将是Sun的OpenDS项目：

OpenDS的是一个开源社区项目，建立一个自由和全面 下一代目录服务基于LDAP 和DSML。 OpenDS旨在解决大型部署，提供高性能，高度可扩展性，并且易于部署，管理和监视。

Answer 2

假设Linux计算机可以使用Likewise Open连接到活动目录域。即使用Active Directory凭证进行身份验证和访问控制。

我已经尝试了一下我自己，并没有运气，虽然（最终无意中使我的桌面系统的域控制器，并不得不让网络管理员重新分配它！）。可能只是需要更好地阅读文档...

Answer 3

Samba提供与Windows域控制器的互操作性。使用版本3，它可以充当主域控制器。从我读的内容来看，版本4将改进对ActiveDirectory的支持。

Answer 4

可以将Linux服务器配置为参与NIS域，建立服务器时通常应该提示您进行此类设置。 NIS与Active Directory非常相似，它提供了通用身份和身份验证以及多个盒子。您还可以将主目录配置为脱离常见的NFS共享，以便身份和工作环境随着用户的不同而不同。

我已经从用户/技术引领方面体验到了这一点，希望Linux管理员可以提供关于如何去做以及在哪里可以找到资源的进一步指示。

Answer 5

Joe：我认为NIS现在被认为是传统Unix的东西。我不会将它推荐给任何人进行新的部署。

在我工作的公司，我们为我们的LDAP目录和Kerberos KDC运行Apple的Open Directory。您可以使用Red Hat的目录服务器（上面提到的Jay）或类似Apache Directory来实现同样的目的。

尽管LDAP和Kerberos一开始可能令人望而生畏，而且工作起来有点困难，但我认为这项工作非常值得。您可以轻松扩展至任何您需要的尺寸。

对于Windows的事情，您可以将Samba挂钩到LDAP中，并根据这些信息验证您的Windows客户端。

Answer 6

LDAP显然是要走的路。例如参见OpenLDAP Software 2.4 Administrator's Guide。

在我的博客（法语）Comptes Unix stockés sur LDAP上提供了一个在Linux和FreeBSD上使用LDAP设置用户认证的示例。