Можем ли мы использовать Windows Active Directory для аутентификации серверов Linux / Unix и управления пользователями / группами из самой AD

Question

Мы попробовали утилиту sssd, которая выполняет аутентификацию LDAP для windows AD, однако мы должны управлять отдельными серверами для разрешений пользователей / групп, нет централизованного управления с помощью sssd.

Также мы пытаемся используйте FREEIPA, но похоже, что это еще одна служба каталогов, и нам нужно создать другой домен, а затем установить sh доверие между windows доменом и доменом IPA, однако мы не хотим выбирать этот маршрут.

Есть ли способ просто интегрировать FreeIPA с windows AD без создания домена FREEIPA.

Answer 1

Нет, такого способа нет. FreeIPA - это не инструмент, это полнофункциональная система управления идентификацией, похожая на Active Directory, но для сред POSIX. Вы не развертываете его на одной машине как отдельное приложение.

Существует множество других инструментов, которые используют существующее развертывание Active Directory для хранения собственной информации и обработки Linux компьютеров, но большинство из них коммерчески доступны.

Однако мне интересно, почему вы утверждаете, что нет централизованного управления с SSSD для прямой интеграции AD. SSSD с id_provider = ad поддерживает групповые политики в AD, поэтому вы можете применять эти правила централизованно. Технически вы также можете хранить правила SUDO в AD LDAP, хотя им будет нелегко управлять по сравнению с FreeIPA.