Autenticação LDAP: Windows Server2k3 vs. 2k8

9

Temos cerca de 70% de usuários do Linux, todos configurados para autenticação no Active Directory por meio do LDAP. Para que isso funcione, usamos o "Windows Services for Unix" no Windows Server 2003 e tudo funciona bem.

Estamos agora em um ponto em que o servidor que executa esta engenhoca está ficando um pouco cansado e será substituído por uma nova máquina, executando o Windows Server 2008 (onde os serviços relevantes, como mapeamento de nome de usuário e senha, etc.) estão integrados com o SO).

E aqui está o problema: se um novo usuário é configurado através do servidor Win2k3, então tudo funciona bem. Se a mesma coisa é feita através do servidor Win2k8, então:

  1. O plugin ADS no servidor 2k3 não o reconhece e se comporta como se os atributos do UNIX nunca tivessem sido definidos.
  2. O usuário não pode autenticar contra o ADS usando o LDAP.

Alguém encontrou este problema? Se sim, como você superou isso?

Se precisar de alguma informação adicional para fornecer mais ajuda, basta perguntar e eu a fornecerei.

    
por wolfgangsz 04.11.2010 / 15:06

2 respostas

3

O mapeamento do nome LDAP foi alterado entre o Win2K3 e o 2K8. O novo mapeamento (para aplicar em /etc/ldap.conf) é:

nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber uidNumber
nss_map_attribute gidNumber gidNumber
nss_map_attribute cn sAMAccountName
nss_map_attribute uniqueMember member
nss_map_attribute userPassword msSFUPassword
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute loginShell loginShell
nss_map_attribute gecos cn
nss_map_objectclass posixGroup Group
nss_map_attribute shadowLastChange pwdLastSet

Por favor, deixe-me saber se isso ajuda. Você pode ter que migrar os usuários antigos também - eu usaria o ldapsearch e compararia usuários novos e antigos (mas acho que eles terão apenas os dois atributos, se bem me lembro)

    
por 10.01.2011 / 13:36
1

Eu decidi postar outra resposta aqui, já que este é geralmente o lugar onde as pessoas encontram as informações que estão procurando.

Embora tudo isso ainda seja muito válido e verdadeiro, agora encontrei uma maneira muito mais fácil de conectar meus clientes via AD. O Debian squeeze (a versão estável mais recente) contém o sssd (um pacote que se origina no ambiente redhat / fedora), o que torna tudo isso uma brisa completa. Após a instalação, ele encontra e sugere controladores de domínio, e eu só precisei alterar muito poucas coisas no arquivo de configuração para que ele funcionasse para mim. Ele funciona perfeitamente com o Windows Server 2008 e também pode armazenar em cache senhas (importantes para usuários de laptop).

    
por 18.04.2011 / 10:44