Will Dennis's questions

背景：我们的组织使用 NIS 进行 UNIX/Linux 身份验证已有 20 多年的历史，一直持续到现在。大约 16 年前的某个时候，Windows 和 Active Directory 出现在我们的组织中，但 AD 从未用于 Linux 身份验证（现在只使用 RHEL/CentOS 和 Ubuntu Linux，所有其他 *nix 都被搁置了。）所以，在在我们所有的许多 Linux 资源中，我们仍然使用传统的 UID/GID 范围来存储用户文件。

现在，管理层终于决定我们需要迁移到 AD 进行 Linux 身份验证，并停止使用 NIS（那里没有真正的争论；），所以我们正在努力利用 SSSD 来做到这一点（这似乎是流行的 [仅？]将 Linux auth 与 AD 集成的方法。）我们面临的问题是如何将用户的旧的基于 NIS 的 UID 和 GID 值关联到他们新的基于 AD 的身份。例如，我在测试系统上的 AD 身份验证用户具有以下来源getent passwd -s sss wdennis：

root@vm01:~# getent passwd -s sss wdennis
wdennis:*:140001116:140000513:Will Dennis:/home/wdennis:/bin/bash

所以显然 UID/GID 是自动生成的，与我们当前的 NIS 值不对应。在对 AD 及其架构进行一些研究时，我发现用户属性包括以下内容：

• uidNumber
• gidNumber
• unixHomeDirectory
• loginShell

我的问题是，SSSD（或我们用于身份验证的任何东西）能否以某种方式消耗文件的现有 UID/GID 的值uidNumber并将gidNumber其映射到新的 AD 身份验证用户？或者，我们还能如何将现有的文件所有权信息与经过 AD 授权的用户相关联？（由于文件的数量和拥有它们的机器的数量，实际上不可能chown将文件添加到新的 UID/GID 值......）

在 CA Web Enrollment 网站的“提交证书请求或续订请求”页面 ( https://<servername>/certsrv/certrqxt.asp) 中，“证书模板：”部分下有一个下拉框，其中包含各种证书模板类型的值。我有一个自定义模板，我想为其颁发证书；我怎样才能将那个特定的模板名称添加到这个列表中，或者它是由 Microsoft 预先定义的并且不可更改？

我们正在考虑使用数字证书来验证连接到我们 VPN 服务的机器实际上是公司拥有的机器。因此，我在这里的一位同事提到，对于知识渊博的用户（我们的用户大部分是 CompSci 博士）来说，将证书密钥复制到他们想要使用的另一个非公司拥有的系统是微不足道的。我的问题是（我首先搜索了 Serverfault :) 有什么方法可以防止用户将密钥对复制（导出）到另一台机器上吗？或者如果他们这样做会使复制的证书无效？我们 IT 计划成为在机器上安装证书的人，但我们的用户确实需要对他们的机器具有管理员访问权限才能完成他们的工作。此外，用户的机器混合运行 Windows、Mac OS X 和 Linux 操作系统。

在此先感谢您提供的任何答案...

为此搜索了 Serverfault（和 Google），未能找到答案...我们将 VM（文件夹和文件）从 ESXi 5.0 服务器（5.0.0-623860）复制到 ESXi 4.0 服务器（4.0. 0-261974）。（另外，5.0 服务器是授权的，4.0 服务器是免费版。）现在当我们尝试在 4.0 服务器上启动 VM 时，我们会收到一个弹出错误“虚拟机配置无效”。

查看 4.0 服务器的日志，它抱怨“配置键 serial0.FileName 的值‘/dev/char/serial/uart0’无效。值未被规则‘虚拟串行端口设备后端’接受。” （对于密钥 serial1.FileName 的 uart1 也使用相同的 mssg。）

这是 ESXi 5 到 4 之间的简单版本不兼容，可以通过转换工具或文件编辑来修复，还是这是更基本的问题？

感谢您的帮助；无论如何我都不是 VMware 专家（更像是网络专家......）