基于 Linux 的域管理解决方案？

Question

使用 Windows Server 系列的任何成员，我可以设置一个活动目录，并为大规模计算机提供一个用户池； 可以授予/删除给定域中任何共享资源的访问权限（包括对客户端计算机的访问权限等）。

使用 Linux 管理多用户、多计算机环境有哪些类似（且广泛）的解决方案？ 它们的优点/缺点是什么？ 它们如何与 Windows 互操作？

Answer 1

Joe：我认为 NIS 现在被认为是遗留的 Unix 东西。 我不会向任何新部署的人推荐它。

在我工作的公司，我们为 LDAP 目录和 Kerberos KDC 运行 Apple 的 Open Directory。 您可以使用 Red Hat 的目录服务器（上面 Jay 提到的）或 Apache Directory 之类的东西来实现同样的事情。

虽然 LDAP 和 Kerberos 一开始可能会让人望而生畏，而且使用起来也有点困难，但我认为这种努力是非常值得的。 您可以轻松地将两者缩放到您需要的任何大小。

对于 Windows 端，您可以将 Samba 连接到 LDAP 并根据它验证您的 Windows 客户端。

Answer 2

不确定这是否是您的想法，但 Linux w/Samba 可以充当 Windows 桌面的域控制器。 例如，请参阅 HowToForge 上的适用于小型工作组的 SAMBA（域控制器）服务器。 这适用于文件/打印共享等。

对于更类似于 Microsoft 的 Active Directory 的内容，您可以查看 Red Hat Directory服务器：

Red Hat Directory Server 是一个基于 LDAP 的服务器，用于集中应用程序
设置、用户配置文件、组数据、策略和访问控制信息
到独立于操作系统、基于网络的注册表中。

如果担心成本，可以选择 Fedora Directory Server 版本，它是免费的社区版本。

另一个潜在的产品是 Sun 的 OpenDS 项目：

OpenDS 是一个开源社区项目，构建了一个免费且
基于LDAP的综合性下一代目录服务
和 DSML。 OpenDS 旨在解决大型部署问题
提供高性能，高度可扩展，并且
易于部署、管理和监控。

Answer 3

Samba 提供与 Windows 域控制器的互操作性。 在版本 3 中，它可以充当主域控制器。 据我了解，版本 4 将改进对 ActiveDirectory 的支持。

Answer 4

据称，Linux 计算机可以使用 Likewise Open 连接到 Active Directory 域。 即使用Active Directory 凭据进行身份验证和访问控制。

我自己曾短暂尝试过，但没有运气（最终无意中使我的桌面系统成为域控制器，并且不得不让网络管理员重新分配它！）。 可能只是需要更好地阅读文档......

Answer 5

Linux 服务器可以配置为参与 NIS 域，您应该在构建服务器时通常会提示进行此类设置。 NIS 很像 Active Directory，提供跨多个设备的通用身份和身份验证。 您还可以将主目录配置为从公共 NFS 共享挂载，以便身份和工作环境随用户从一个机器移动到另一个机器。

我从用户/技术主管方面经历过这一点，希望 Linux 管理员能够提供有关如何做到这一点以及在哪里可以找到资源的进一步指导。

Answer 6

LDAP 显然是正确的选择。 例如，请参阅OpenLDAP 软件 2.4 管理员指南。

我的博客（法语）上有一个在 Linux 和 FreeBSD 上使用 LDAP 设置用户身份验证的示例，Comptes Unix stockés sur LDAP。