从 SUSE Linux Micro 访问 Active Directory
- 内容
SUSE Linux Micro 可让您使用存储在 Active Directory 中的数据。
- 原因
本主题提供了有关如何加入 Active Directory 域的说明。
- 工作量
读完本文大约需要 5 分钟。
- 目标
您将能够访问存储在 Active Directory 域中的数据。
- 要求
特定 Active Directory 域的身份凭证
1 什么是 Active Directory #
Active Directory* (AD) 是一项基于 LDAP、Kerberos 和其他服务的目录服务。Microsoft* Windows* 使用它来管理资源、服务和人员。在 Microsoft Windows 网络中,Active Directory 会提供有关这些对象的信息,限制对其的访问,并强制执行策略。SUSE Linux Micro 可让您加入现有的 Active Directory 域,并将您的 Linux 计算机集成到 Windows 环境中。
与 Active Directory 集成后,SUSE Linux Micro 可为您带来以下好处
- 脱机身份验证
即使用户脱机或者 Active Directory 服务器出于其他原因而无法使用,用户也仍可在 Linux 计算机上登录并访问其本地数据。
- Windows 口令更改
Linux 中的该 Active Directory 支持端口会强制执行 Active Directory 中存储的公司口令策略。控制台支持口令更改消息并接受您的输入。甚至可以使用 Linux
passwd命令设置 Windows 口令。- 通过 Kerberos 进行单点登录
adcli可以透明地为用户处理身份验证,而无需在 Web 服务器、代理、群件应用程序或其他位置重新输入口令。
为了与目录服务进行通信,客户端至少需要与服务器共享两个协议。
- LDAP
LDAP 是一种为管理目录信息而优化的协议。具有 Active Directory 的 Windows 域控制器可以使用 LDAP 协议来与客户端交换目录信息。
- Kerberos
Kerberos 是可信的第三方身份验证服务。其所有客户端均信任 Kerberos 对另一个客户端的身份授权,从而支持 Kerberos 化单点登录 (SSO) 解决方案。Windows 支持 Kerberos 实施,因此即使是 Linux 客户端也可以使用 Kerberos SSO。
2 加入 Active Directory 所需满足的先决条件 #
在尝试加入 Active Directory 域之前,请确保满足以下要求:
- DNS
对 DNS 进行配置,使其将 DNS 请求转发到 Active Directory DNS 服务器。或者,将客户端配置为使用 Active Directory DNS。
- NTP
确保在使用 Kerberos 时可正确地同步时间。为此,强烈建议使用中心 NTP 时间服务器(这也可以是 Active Directory 域控制器上运行的 NTP 服务器)。有关细节,请参见 NTP time synchronization。
- 防火墙
完全禁用防火墙,或者将用于浏览的接口标记为内部区域的一部分。您可以使用 Cockpit 来配置内部防火墙区域。
- Active Directory 帐户
确保您具有适当的身份凭证,可以访问 Active Directory 域。
3 加入 Active Directory 域 #
在 SUSE Linux Micro 上,您需要先加入 Active Directory 域。为此,请使用 adcli 命令,该命令会为加入域的计算机创建一个计算机帐户。如果使用 Kerberos,则会为该计算机创建一个 keytab。
要加入域,请执行以下操作:
(可选) 要使用将利用
SSSD的脱机身份验证,请先安装该工具:运行以下命令:
>sudotransactional-update pkg install sssd重新启动系统。
检查
/etc/sssd/sssd.conf是否需要进行任何调整。要允许
SSSD使用 Kerberos,请运行以下命令打开kerberos_enabled布尔值:>sudosetsebool -P kerberos_enabled 1
如下所示运行
adcli命令:>sudoadcli join -d DOMAIN_NAME提供相应域的身份凭证。
加入域后,您便可以登录 Active Directory,并可使用脱机身份验证。
4 登录 Active Directory 域 #
您可以使用基于文本的控制台,甚至是使用 SSH 远程登录到 Active Directory 客户端计算机
要通过控制台登录,请在 login: 提示符处输入:
DOMAIN_NAME\USER_NAME
然后提供口令。
如果要进行远程登录,请按如下所示使用 SSH:
>sudossh DOMAIN_NAME\\USER_NAME@HOST_NAME
\ 域和登录名分隔符将用另一个 \ 符号转义。
然后提供您的口令登录系统。
5 法律声明 #
版权所有 © 2006–2025 SUSE LLC 和贡献者。保留所有权利。
根据 GNU 自由文档许可证 (GNU Free Documentation License) 版本 1.2 或(根据您的选择)版本 1.3 中的条款,在此授予您复制、分发和/或修改本文档的权限;本版权声明和许可证附带不可变部分。许可版本 1.2 的副本包含在题为“GNU Free Documentation License”的部分。
有关 SUSE 商标,请参见 https://www.suse.com/company/legal/。所有其他第三方商标分别为相应所有者的财产。商标符号(®、™ 等)代表 SUSE 及其关联公司的商标。星号 (*) 代表第三方商标。
本指南力求涵盖所有细节,但这不能确保本指南准确无误。SUSE LLC 及其关联公司、作者和译者对于可能出现的错误或由此造成的后果皆不承担责任。