使用Active Directory作为Linux客户端的LDAP服务器

感谢您的build议。 正如我在原文中所提到的，Unix的windows服务将很快成为EOL，但我发现替代感兴趣的任何人。

在Windows Server 2008 R2中，您需要安装function“基于UNIX的应用程序的子系统”。

其次，在“angular色”>“Active Directory域服务”下，您需要安装“Unix的身份pipe理”。

一旦这些安装，每个用户将有一些额外的UNIX属性:)

/etc/ldap.conf的ldap映射如下所示：

# RFC 2307 (AD) mappings nss_map_objectclass posixAccount user nss_map_objectclass shadowAccount user nss_map_attribute uid sAMAccountName nss_map_attribute homeDirectory unixHomeDirectory nss_map_attribute shadowLastChange pwdLastSet nss_map_objectclass posixGroup group nss_map_attribute uniqueMember member pam_login_attribute sAMAccountName pam_filter objectclass=User pam_password ad 

互操作性的乐趣…

同样，开放工作对我来说 – 很容易安装，并不需要对AD进行任何更改。 免费版本为您提供loginfunction。 如果你支付企业版本，你会得到组策略和其他一些东西。

您可以尝试http://www.quest.com/authentication-services/active-directory-for-unix.aspx （前Vintela）。

我自己没有经验，但是我以前的老板用过这个，在我们的Linux工作站上工作得很好。

您可能需要使用Windows Services for Unix（[W] SfU）阅读Microsoft文档。 这个链接显然包括它的文档。 从链接：

第2卷：使用Kerberos身份validation的解决scheme（结束状态1和2）。 描述了使用不同的技术方法的最终状态1和2的实施。 在“结束状态1”中，UNIX客户端使用Active Directory Kerberos进行身份validation，但继续使用现有的基于UNIX的数据存储进行授权。 在结束状态2中，UNIX客户端使用Active Directory Kerberos进行身份validation，使用Active Directory LDAP进行授权。

让我们知道它是否适合你; 我非常有兴趣为Linux项目实施这样的事情。

查看Centrify，它提供了一个本地代理，用于在数百种不同的UNIX或Linux（或OS X）上直接连接到AD。 有一个免费的产品（ Centrify Express ），包括对PAM，NSS和Kerberos客户端的authentication支持。 另外，他们有一个免费的Windows应用程序，用于一次部署和远程pipe理许多服务器。

支付套件包括组策略，访问控制，授权，特权用户pipe理，报告，用户会话logging/审计，电缆上数据的encryption/authentication等等。

在Fortune 2000 UNIX和Linux服务器的大部分生产环境中使用。

Corey – Centrify产品经理