将活动目录添加为“单一登录”的最佳迁移方式是什么?

时间:2018-06-26 10:10:46

标签: linux samba sssd

我已经在互联网上进行了几天的研究,但是我还没有找到满足这些特定需求的最佳方法:

我在一家拥有约1000名员工的公司中工作,我的前任unix系统管理员已经以最佳方式配置samba 3来满足当时没有Active Directory的公司的需求,但是现在不幸的是或幸运的是,网络就在我手上。

但是最近我们必须连接到林中的AD根域,并且这是公司政策的强制要求,因此我也必须介绍Active Directory。

当时我从来没有管理过Active Directory,而samba已经足够了:当前安装的Samba 3使用简单的smbpasswd作为passwd后端,nis(没有openldap和没有kerberos),自动挂载(从其他Linux挂载房屋和文件夹组)并使用samba后面的chmod管理的简单标准posix(而不是通过setfacl进行ACL)来管理用户和组文件夹。

直截了当,理想的目标是将AD作为单一登录添加,用户将加入AD域并从samba 4挂载共享的linux资源,从而保持实际的目录结构(家庭用户,目录组)共享,这是因为我们要逐步迁移到两个域,而不是一次迁移。我知道用户必须在AD上重新创建:(

我发现的在线文档说如何使用winbind和sssd从linux连接到AD,但是目前尚不清楚如何将gid映射到linux上的现有uid(保持linux当前用户),甚至可能如何覆盖samba后面的访问posix(我的意思是chmod / chown用于不在smb.conf上的文件)?

我的想法是安装新的Linux服务器(如centos 7.2),设置samba4并通过autofs资源进行装载,将samba4加入AD,从gpo重新映射文​​件夹,并继续对旧域使用samba 3,对samba4 + AD使用两个相同但相同的samba共享资源上的新域....有可能!?用户保存在相同的地图网络文件夹中,并保留相同的数据。将samba与AD保持在samba3上管理的相同共享资源结构的最佳方法是什么?

细节 enter image description here

0 个答案:

没有答案