Ubuntu 通过ldap集成AD账号登录

安装libnss-ldapd(会自动安装nscd、nslcd)、libpam-ldapd

# apt-get install libnss-ldapd libpam-ldapd （中间配ldap部分可直接回车或随便写，后面调nslcd.conf文件即可）

# vi /etc/nsswitch.conf

passwd: files ldap

group: files ldap

shadow: files ldap

:wq

# vi /etc/nslcd.conf

uri ldap://10.0.1.4:3268

base dc=ming，dc=com

binddn cn=adminldap,cn=Users,dc=ming,dc=com （adminldap为AD账号，一般权限即可）

bindpw ****** （adminldap的密码）

filter passwd (&(objectClass=user)(objectClass=person)(!(objectClass=computer)))

map passwd uid cn

map passwd uidNumber objectSid:S-1-5-21-3623811015-3361044348-30300820

map passwd gidNumber objectSid:S-1-5-21-3623811015-3361044348-30300820

map passwd homeDirectory "/home/$cn"

map passwd gecos displayName

map passwd loginShell "/bin/bash"

filter shadow (objectClass=person)

map shadow uid sAMAccountName

filter group (|(objectClass=group)(objectClass=person))

map group gidNumber objectSid:S-1-5-21-3623811015-3361044348-30300820

:wq

认证后自动创建用户家目录：

# vi /etc/pam.d/common-session

session required pam_mkhomedir.so skel=/etc/skel umask=0022

:wq

# service nscd restart

# service nslcd restart

# getent passwd\shadow\group （查看是否可以显示AD信息，可以才算正常）

nslcd debug模式（看报错用，正常情况下就restart即可）

# service nslcd stop

# nslcd -d

确认AD账号登录：

# su - aa.yang

# ssh aa.yang@10.0.1.6 （即通过远程ssh，直接写名字，不带域名）

给sudo权限(/etc/sudoers)

新账号登录后是否自动创建家目录

目前发现的bug：

1、显示的AD账号的uid和gid和AD里的真实uid不一致

2、不能通过AD的group来给sudo权限（gid不一致）