Menu Close

6.2. 间接集成

在间接集成中,Linux 系统首先连接到中央服务器,然后连接到 Active Directory (AD)。间接集成使管理员能够集中管理 Linux 系统和策略,而 AD 的用户则可透明地访问 Linux 系统和服务。

基于与 AD 的跨林信任进行集成

身份管理 (IdM) 服务器充当控制 Linux 系统的中央服务器。建立与 AD 的跨域 Kerberos 信任,使 AD 中的用户能够登录访问 Linux 系统和资源。IdM 作为一个独立的林,利用了 AD 支持的林级信任。

使用信任时:

  • AD 用户可以访问 IdM 资源。
  • IdM 服务器和客户端可以解析 AD 用户和组群的身份。
  • AD 用户和组根据 IdM 定义的条件访问 IdM,如基于主机的访问控制。
  • AD 用户和组仍在 AD 端进行管理。
基于同步进行集成

这个方法基于 WinSync 工具。WinS 同步复制协议可将用户帐户从 AD 与 IdM 同步。

警告

WinSync 已不再在 Red Hat Enterprise Linux 8 中活跃开发。间接整合的首选解决方案是跨林信任。

基于同步的集成限制包括:

  • 组没有从 IdM 和 AD 同步。
  • 用户在 AD 和 IdM 中会重复。
  • WinSync 只支持单个 AD 域。
  • AD 中只有一个域控制器可用来将数据同步到一个 IdM 实例。
  • 用户密码必须同步,这需要在 AD 域的所有域控制器中安装 PassSync 组件。
  • 配置同步后,所有 AD 用户必须在 PassSync 同步前手动更改密码。