<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On 19 November 2013 21:21, Neil Ramsay <span dir="ltr"><<a href="mailto:neil.ramsay@agentnoel.geek.nz" target="_blank">neil.ramsay@agentnoel.geek.nz</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi guys,<br>
<br>
I am looking at how to integrate Active Directory authentication in Linux.<br>
Many years ago, I got Linux authenticating against Kerberos/LDAP with great success, but it was a very manual process.<br>
<br>
Has anyone done Active Directory authentication in Linux at work, and what approach did you take?<br></blockquote></div><br clear="all"><br></div><div class="gmail_extra">Yep, long time winbind user here. I had previously (eg 10yrs ago) got the standard Kerberos (pam_krb5 for authorisation) and LDAP (nss_ldap for account info) modules working on Debian but it was a far more involved process (not that winbind isn't somewhat brittle anyway).<br>
</div><div class="gmail_extra"><br></div><div class="gmail_extra">Winbind (ie its PAM and NSS modules) will require some cooperation from the Active Directory admins to get the unixy extras added to the schema.<br><br>* In WIndows 2003 and earlier that involved installing the NIS service from MS Services For Unix 3.5 (SFU). Note: you don't actually use the NIS service, its just that you need it to extend the schema.<br>
* In Windows 2003 R2 and later the Unix extras are shipped with Windows (but not installed by default).<br><br></div><div class="gmail_extra">The earlier SFU 3.5 schema extensions are non standard but winbind can be configured to read them. The 2003R2 and later schema extensions are standard RFC2307.<br>
</div><div class="gmail_extra"><br></div><div class="gmail_extra">Once you've got that stuff in Active Directory, you have to give each unix accessing user account in AD a 'NIS' domain and uid.<br><br></div><div class="gmail_extra">
When its all configured right, you can do cool stuff like kerberised SSH, and SPNEGO single sign on to intranet apps, as well as transparently accessing SMB fileshares in Nautilus etc.<br></div><div class="gmail_extra"><br>
</div><div class="gmail_extra">The easier to use Likewise Open library that some distros shipped by default wasn't viable for us as it didn't support centralised uid mapping like winbind can. Only the paid for Likewise product did that. I never looked much into Centrify after the initial sticker shock.<br>
</div><div class="gmail_extra"><br>-- <br>Cheers<br>Anton
</div></div>