Comment puis-je demander à une machine Linux de rejoindre un domaine Windows?

12

Désolé si j'utilise mal les termes ici; En fait, je ne connais pas grand-chose à Active Directory et aux technologies associées. Fondamentalement, j'ai un ordinateur Linux et j'aimerais qu'il (ou mon utilisateur sur cet ordinateur) soit associé à mon utilisateur sur le domaine, afin que je puisse parcourir le réseau et tout ce que Windows a.

Est-ce faisable? Que dois-je examiner pour faire quelque chose comme ça?

linux windows active-directory Frew Schmidt
la source

Réponses:

9

Il existe trois options principales:

  • Kerberos plus LDAP - Il s'agit d'une option de niveau inférieur dans laquelle vous configurez Linux pour utiliser vous-même les protocoles sous-jacents d'Active Directory. Décrit dans cette réponse .
  • Samba - Samba est la norme de facto pour joindre une machine Linux à un domaine Windows.
  • Les services Microsoft Windows pour Unix incluent des options pour servir les noms d'utilisateur à Linux / UNIX via NIS et pour synchroniser les mots de passe avec les machines Linux / UNIX. Vous l'utiliseriez si vous vouliez faire tout votre possible à partir de Windows ou si vous aviez une infrastructure Linux / UNIX existante que vous vouliez lier à Windows; pour la plupart des environnements, cependant, l'une des autres solutions serait préférable.

Il y a aussi quelques autres options disponibles: De même (apparemment plus disponible), Centrify, SSSD ... Il y a plus de discussion dans cette question .

Josh Kelley
la source
+1 pour De même. De même, Open m'a fait gagner des centaines d'heures dans l'administration des utilisateurs. J'ai spécifiquement construit une infrastructure AD pour mes box Linux. Way, way way way way better better.
Matt Simmons
Semble également être mort; au moins, votre lien va vers une entreprise non liée et la recherche ne se révèle pas beaucoup.
detly
1
De même a été acheté par Isilon (maintenant DellEMC) pour inclusion dans leur NAS. Je suppose qu'ils ont supprimé le produit autonome.
Dan Pritts
1

Deux façons que je connais. Depuis l'hôte Linux, vous pouvez essayer ceci:

root # net ads join -UU Administrator% password

Ou vous pouvez simplement créer l'objet ordinateur dans le répertoire actif.

Comme tout le monde l'a dit, vous devrez ajouter les packages samba pour que cela se produise.

http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/domain-member.html

CosmicQ
la source
0

Je suggère de regarder un excellent package du domaine public appelé Samba. Il pourrait très bien faire partie de la distribution Linux que vous avez installée.

mdpc
la source
0

Afin d'obtenir tous les avantages et la sécurité d'AD, vous aurez besoin d'une solution impliquant Kerberos (pour l'authentification) et LDAP (pour l'autorisation). Il y a un excellent tutoriel ici que j'ai utilisé dans le passé et qui fonctionne incroyablement bien. Il est plus complexe à implémenter que d'utiliser simplement samba / winbindd, mais vous aurez l'avantage de pouvoir utiliser les attributs UNIX dans AD pour gérer vos utilisateurs, groupes, uids, gids, etc. Linux.

EEAA
la source
1
Je crois que Samba / Winbind peut également utiliser les attributs UNIX d'AD, en utilisant le backend idmap_ad ( samba.org/samba/docs/man/manpages-3/idmap_ad.8.html ) et le paramètre smb.conf "winbind nss info" ( samba.org/samba/docs/man/manpages-3/smb.conf.5.html#id2564796 ).
Josh Kelley
Hé, des nouvelles pour moi :-) C'est une fonctionnalité intéressante à avoir. Je suppose que je préfère toujours la sécurité apportée par Kerberos, mais pour des configurations plus simples, ce sera probablement très bien.
EEAA
Je ne trouve pas du tout ce tutoriel excellent. Par exemple, il indique "Assurez-vous que les bibliothèques Kerberos appropriées, OpenLDAP, pam_krb5 et nss_ldap sont installées. Si elles ne sont pas installées, installez-les.", Sans plus de détails.
Frank H.
@FrankH. Vous remarquerez que cette réponse a 7 ans. Si vous avez un meilleur tutoriel auquel vous pouvez vous connecter, modifiez certainement ma réponse en conséquence. Cependant, si vous êtes un administrateur système Linux, pouvoir installer des packages sans instructions pas à pas est l'une des premières choses à apprendre.
EEAA
3
@FrankH. Tu es un professionnel. Vous ne pouvez pas raisonnablement vous attendre à faire votre travail en suivant des instructions étape par étape parfaitement complètes pour chaque tâche que vous devez effectuer. Un certain niveau d'initiative est nécessaire pour sortir et apprendre réellement les systèmes d'exploitation que vous utilisez. Si vous ne pouvez pas ou ne voulez pas le faire, engagez quelqu'un pour vous aider. Il n'y a aucune honte à faire ça.
EEAA
0

Samba / De même est exagéré.

Configurez pam_krb5, en vous authentifiant auprès du KDC du domaine AD.

Fahad Sadah
la source
0

Pour ajouter une machine Linux à un domaine Active Directory, vous aurez besoin de:

  • Configuration TCP / IP: configurez le DNS de l'AD en tant que DNS.
  • Configuration NTP: configurer le serveur NTP dans DC
  • Packages: installez les packages nécessaires
  • Configuration SSSD: configurez le service d'authentification réseau.
  • Vérification avec la commande id

Voici un guide, étape par étape:

https://www.sysadmit.com/2019/11/linux-anadir-equipo-al-dominio-windows.html

Mark Stowe
la source