-1

你好或晚上好,

我实际上是一个小社会的实习生,他们想要的改进之一是拥有一个中央身份验证服务器。经过一番研究,我们选择使用 UCS(Univention Corporate Server),它处理了很多他们想在未来使用的工具。我的问题从这里开始......

我想在计算机启动时进行身份验证,并且只通过我的 UCS(无漫游配置文件或其他)进行身份验证。我只需要获得一张票以允许用户在 Intranet 上进行单点登录(例如访问 NAS 或集群)。我知道 LDAP 服务器在我的 UCS 上运行,因为当我使用 univention-ldapsearch 时,我可以看到一个包含大量信息的大文件……但是,我不知道它是哪个 LDAP 服务器。我有 kerberos v5、slapd、pam(也许),所以一切都适用于 SSO 并验证用户。

他们想要的是这样的:

--> 当用户启动计算机时,他们可以从任何地方使用他们的登录名/密码进行连接。

--> 主目录必须只保留在主用户计算机上。(所以他们可以从任何地方连接的事实更多是为了访问 Intranet 中的数据)

--> 他们可以通过 SSO 访问 Intranet 中的所有设备(允许用户使用)。

现在我知道了 :

 how to add a user / group. UCS is very user friendly for that, 

 that an LDAP server is running on UCS.

 that I have samba but i'm pretty sure I can do it without using it.

我不知道 :

 how to set up the authentication at startup (nsss doesn't want to install on UCS and the documentation from UCS using PAM don't take missing files inside UCS -_- ...),

 Which LDAP server is running (not an openldap (no directory from them.)) 

 If it's possible to create (ONLY) if it's not the main user computer, an empty home directory and how.

我不知道是否有人熟悉这项技术,我希望如此,因为它更像是:“我需要一个教程”而不是“RTFD”,很多地方都缺失了。

我更愿意指定我们没有异构网络,所有计算机都是基于 linux 的。

如果有人可以帮助我,请,我花了一天时间尝试做一个启动连接,但什么也没做......(我可以从浏览器连接,但只是为了更改密码。我们真的需要一个中央身份验证)。

提前致谢,

问候。

4

1 回答 1

-1

你好黑蝴蝶,

我在 Univention 工作,知道 UCS 用途广泛,因此您几乎可以将任何盒子连接到它。

UCS 带有紧密连接的 OpenLDAP 和 Kerberos(甚至 PAM-Stack 最终都使用 Kerberos)。要知道的重要部分是,OpenLDAP 在端口 7389(带有 StartTLS 的 LDAP)和 7636(LDAPS)上运行。Samba/AD 是可选的,并且“仅”在您有 Windows(类似)客户端时才需要。但既然你说你只有 Linux 机器,你就不需要 Samba/AD。

现在,如果您想将 Linux/类 Unix 客户端连接到 UCS,您必须... 1. 在 UCS LDAP/管理系统中为客户端创建一个计算机对象。有一个网络模块:http://docs.software-univention.de/manual-4.1.html#computers:: hostaccounts 2. 配置客户端: - 使用 UCS 作为名称服务器 - 使用 UCS 作为时间服务器 - 配置 LDAP 客户端将 UCS 用作 LDAP 目录服务器 - 将 Kerberos 客户端配置为将 UCS 用作 KDC/Kerberos-Realm - 使用某种身份/组缓存和桥接软件,例如 NSS 和/或 SSSD

不幸的是,每个 Linux 发行版在细节方面都有不同的表现。有一个关于如何使用 Ubuntu 执行此操作的简单教程 - 它主要是复制和粘贴: http ://docs.software-univention.de/domain-4.1.html#ext-dom-ubuntu What Linux distro(s) are you using在您的组织中为 Linux 客户端提供服务?如果我知道的话,也许我可以给你更好的建议。

关于主目录:我是否理解正确,您不想要“漫游配置文件”或共享主目录?那将是默认设置。

如需进一步的建议,您也可以随时参考 Univention 论坛。

于 2016-04-21T07:54:31.403 回答