Автентифікація входу в Linux проти Active Directory (AD) без приєднання Linux Machine до домену AD

У мене звичайна інфраструктура Active Directory, розгорнута у вітринах Windows на Azure. Не існує інтеграції цієї конвенції AD з Azure AD.

Я хочу, щоб Linux VM на Azure зі SLES 12 SP3 підтверджували автентифікацію нашої звичайної установки AD, не потребуючи приєднання до домену AD.

Потік має відбуватися так:

• У той час як користувач увійшов до немедоном, приєднаному до SLES12SP3 VM, аутентифікацію слід проводити проти нашого звичайного AD для перевірки наявності облікових даних.
• У разі успіху, перевірте, чи не відображається місцеве користувач із назвою "name @ domain".
• Якщо локальний користувач не існує, але успішно підтверджено автентифікацію через наш AD, створює нового користувача та домашній каталог

Я спробував автентифікацію модуля PAM за допомогою KRB5 та SSSD, але безрезультатно досягти бажаного сценарію. Я підозрюю, що я можу бракувати будь-яких налаштувань у конфігураційних файлах для KRB5 або SSSD, або, можливо, цього сценарію неможливо досягти?

Будь ласка, допоможіть. Заздалегідь спасибі.

Раніше було створено управління ідентичністю для фрагмента AD від Unix, який дозволив би вказати домашні каталоги, оболонки користувачів та інші атрибути Posix та дозволив користувачам пройти автентифікацію з Linux через AD. Це вже не так. Станом на Server 2008 цей фрагмент застарілий. Ви можете спробувати скористатись редактором ADSI для встановлення значень вручну, але запис у вільній формі може зіпсувати речі, якщо ви не будете обережні. Я не знаю, чи є спосіб відстежувати Unix UID / GID розумним способом, щоб ви не закінчилися їх дублювання. Я врешті-решт поїхав із SASL Passthrough. Ви повинні знайти спосіб керувати ним, але врешті-решт, ви просто просите AD ввести пароль і більше нічого. Усі атрибути Posix походять з OpenLDAP. Запуск основної частини цього на Linux пропонує безліч інструментів для автоматизації управління каталогом.