你好或晚上好,
我实际上是一个小型社会的实习生,他们想要的改进之一就是拥有一个中央认证服务器。经过一些研究,我们选择使用UCS(Univention Corporate Server)来处理他们希望将来使用的许多工具。我的问题从这里开始......
我想通过我的UCS(没有漫游配置文件或其他方式)在计算机启动时进行身份验证,只进行身份验证。我只需要获取一张票,允许用户在Intranet上进行单点登录(例如,访问NAS或集群)。我知道LDAP服务器在我的UCS上运行,因为当我使用univention-ldapsearch时,我可以看到一个包含大量信息的大文件......但是,我不知道它是哪个LDAP服务器。我有kerberos v5,slapd,pam(也许),所以SSO的所有内容都要对用户进行身份验证。
他们想要的是:
- >当用户启动计算机时,他们可以从任何地方连接他们的登录名/密码。
- >主目录必须仅保留在主用户计算机上。 (因此,他们可以从任何地方连接的事实更多的是访问内部网中的数据)
- >他们可以使用SSO访问Intranet中的所有设备(允许用户)。
现在: 我知道:
how to add a user / group. UCS is very user friendly for that,
that an LDAP server is running on UCS.
that I have samba but i'm pretty sure I can do it without using it.
我不知道:
how to set up the authentication at startup (nsss doesn't want to install on UCS and the documentation from UCS using PAM don't take missing files inside UCS -_- ...),
Which LDAP server is running (not an openldap (no directory from them.))
If it's possible to create (ONLY) if it's not the main user computer, an empty home directory and how.
我不知道是否有人熟悉这项技术,我希望如此,因为它更像是:“我需要一个教程”而不是“RTFD”,其中很多都缺失了。
我更喜欢指定我们没有异构网络,所有计算机都是基于Linux的。
如果有人可以帮助我, 请, 我花了一天时间尝试做一个启动连接而没有... (我可以从浏览器连接,但它只是为了更改密码。我们确实需要集中身份验证。)
提前谢谢,
的问候。
答案 0 :(得分:-1)
Hello Black Butterfly,
我在Univention工作并且知道UCS非常多才多艺,所以你几乎可以连接任何盒子。
UCS附带了紧密连接的OpenLDAP和Kerberos(甚至PAM-Stack最终也使用Kerberos)。需要知道的重要部分是OpenLDAP在端口7389(带有StartTLS的LDAP)和7636(LDAPS)上运行。 Samba / AD是可选的,如果你有Windows(类似)客户端,则“仅”需要它。但既然你说你只有Linux盒子,你就不需要Samba / AD。
现在,如果您想将类似Linux / Unix的客户端连接到UCS,则必须... 1.在UCS LDAP /管理系统中为客户端创建计算机对象。有一个web模块:http://docs.software-univention.de/manual-4.1.html#computers::hostaccounts 2.配置客户端: - 使用UCS作为名称服务器 - 使用UCS作为时间服务器 - 配置LDAP客户端以将UCS用作LDAP目录服务器 - 配置Kerberos客户端以将UCS用作KDC / Kerberos-Realm - 使用某种身份/组缓存和桥接软件,如NSS和/或SSSD
不幸的是,每个Linux发行版在细节方面表现不同。 有关如何使用Ubuntu执行此操作的直接教程 - 它主要是复制和粘贴: http://docs.software-univention.de/domain-4.1.html#ext-dom-ubuntu 您在组织中为Linux客户端使用哪些Linux发行版?如果我知道的话,也许我会给你更好的建议。
关于主目录:我是否理解正确,您不想要“漫游配置文件”或共享主目录?这将是默认值。
如需进一步的建议,您也可以随时参考Univention论坛。