Active Directory, Linux и частные группы пользователей

Question

Active Directory, Linux и частные группы пользователей

Мы находимся в процессе перехода от NIS в наших системах Linux к привязке всего к Active Directory. Среда NIS следует общему стандарту, используемому во многих дистрибутивах Linux, в соответствии с которым основная группа пользователя является группой с тем же именем, что и пользователь (и в которой пользователь обычно является единственным участником).

Мне сообщили, что в среде Active Directory у вас может не быть имени группы с тем же именем, что и у пользователя (в частности, два объекта безопасности AD не могут иметь одинаковое имя). Это может усложнить процесс переноса наших групповых определений в AD. Похоже, что мы могли бы поддерживать информацию о группе NIS в AD, используя только атрибуты POSIX (например, не фактический объект безопасности AD), но это кажется неоптимальным исправлением (потому что мы действительно хотим иметь одинаковое представление о членстве в группах в обоих Unix и AD миры).

Вы переместили большую устаревшую среду NIS в Active Directory? Как вы справились с этой ситуацией?

4

active-directory ldap authentication groups authorization

Источник

larsks 23 май '10 в 00:24

2 ответа

Другие вопросы по тегам active-directory ldap authentication groups authorization

Erik Thiele 30 окт '14 в 09:45 2014-10-30 09:45 · Answer 1 · 2014-10-30 09:45

Я тоже столкнулся с той же проблемой. Прочитав много документов, я нашел следующее "решение":

Чтобы обойти конфликт имен, я переименовал личные группы пользователей, добавив в начале символ "g". Например: Пользователь = Эрик, Группа = Эрик. Сейчас в активном каталоге я назвал группу "герик". Таким образом, я могу продолжать концентрироваться на миграции AD, не думая сейчас о проблеме с частными группами пользователей.
Медленно прекратите использование личных групп пользователей, так как это, кажется, не тот путь, по крайней мере, при использовании Active Directory. Это можно сделать, создав новую группу, такую как "unixgrp" или используя "Пользователи домена", но мне не нравятся "Пользователи домена", потому что это имя слишком длинное при отображении файлов с "ls".
будьте осторожны при переходе от личных групп пользователей к общей группе, такой как "unixgrp". Не просто измените группу всех файлов на "unixgrp". Например, если у пользователя есть права на групповую запись в файл, принадлежащий его частной группе, и вы изменили группу на "unixgrp", то все пользователи в "unixgrp" также будут иметь доступ на запись в этот файл. Так что какой-то сценарий должен корректно изменять права доступа... развлекайтесь!

Я признаю, что единственное реальное решение - это как-то поддерживать частные группы пользователей при использовании активного каталога. Но я не знаю как...

chmeee 23 май '10 в 06:36 2010-05-23 06:36 · Answer 2 · 2010-05-23 06:36

Аналогичным образом, имеется продукт под названием UID-GID Management Tool Module, который можно использовать с Likewise Open для повышения вашего контроля над отображением uid/gid в Active Directory.

Из списка возможностей:

Mirror your organizational units with Likewise cells and map Active Directory users and groups to UIDs and GIDs.

Я использовал Likewise Open, и он работает довольно хорошо, но мне не нужно было приобретать этот модуль.