我有一个绑定Linux客户端到Windows Server 2012活动目录的要求。 我有一个testing环境,我成功地通过samba-winbind-kerberos和nslcd,使用用户进行身份validation。 然而,当使用samba-winbind-kerberos时,我能够在不扩展AD模式的情况下实现这一点,以包含UNIX属性(UID / GID,Home目录,shell),因为smb.conf有一个idmap的选项,指定一个起始范围
idmap config *:range = 11000-20000
这将处理AD用户的UID / GID的unix映射。
如果我不在AD中启用UNIX属性,那么我将在nslcddebugging日志中得到一个错误
uidNumber: missing
有没有办法在nslcd / libnss_ldap中使用相同的function,这样我就不必在Windows server 2012上扩展AD模式了? 由于远程代码执行漏洞,我不喜欢在生产环境中使用samba。
这是不可能的。 根据他们的文档,没有可用于nslcd的id映射,这需要将您的AD架构扩展为具有unix属性。