我需要将 Linux 客户端绑定(bind)到 Windows Server 2012 Active Directory。我有一个测试环境,我在其中成功地使用 samba-winbind-kerberos 和 nslcd,使用用户进行身份验证。然而,当使用 samba-winbind-kerberos 时,我能够在不扩展 AD 架构以包含 UNIX 属性(UID/GID、主目录、shell)的情况下实现这一点,因为 smb.conf 有一个 idmap 选项,指定起始范围
idmap config *:range = 11000-20000
这将负责 AD 用户的 UID/GID 的 unix 映射。
如果我不在 AD 中启用 UNIX 属性,我会在 nslcd 调试日志中得到一个错误,上面写着
uidNumber: missing
有什么方法可以在 nslcd/libnss_ldap 中使用相同的功能,这样我就不必在 Windows Server 2012 上扩展 AD 模式了吗?我不喜欢在生产环境中使用 samba,因为它存在远程代码执行漏洞。
最佳答案
现在这是不可能的。根据他们的文档,nslcd 没有可用的 ID 映射,这需要将您的 AD 架构扩展为具有 unix 属性。
关于linux - Active Directory 和 linux nslcd 绑定(bind)而不扩展 AD 模式,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30725840/