Manter o Grupo AD Sincronizado no OpenLDAP com o aumento da conta POSIX

4

Qual é a maneira mais óbvia de obter o seguinte: O site tem uma infraestrutura de AD funcionando e certas partes da infraestrutura são máquinas GNU / Linux strongmente acopladas, onde pessoas do AD OU ou=linux-users,dc=example,dc=com devem ser capazes de fazer logon no Linux. parte da infraestrutura usando suas credenciais do AD, mas sem usar o DC na pilha PAM da máquina Linux, ou seja, deve haver algum tipo de sincronização mais aumento com os atributos POSIX (uid, gid, homedir, password) do AD para o slapd. O slapd nas máquinas linux é o OpenLDAP, o esquema do AD é do Windows 2003 sem os atributos POSIX.

    
por pfo 26.01.2010 / 20:58

2 respostas

2

O Ldap (Ldap Synchronization Connector) pode ser usado para configurar uma sincronização contínua do AD para um servidor OpenLDAP, adicionando atributos extras gerados como quiser.

No entanto, isso não permitirá o uso direto das credenciais do AD, a menos que você configure o OpenLDAP para encaminhar solicitações BIND para os servidores do AD ... mas dependerá da disponibilidade da infraestrutura do AD.

Basear-se nas credenciais no AD é difícil, porque você precisa ter as credenciais em texto não criptografado em outro lugar ou depender do uso do AD para ligações ou configurar a sincronização de senhas. Confira as opções de sincronização de senha do Active Directory .

Uma opção não descrita nessa página está exportando a lista de senhas com hash de um servidor AD, mas essa é uma operação única, não a sincronização contínua.

    
por 27.01.2010 / 20:11
2

Existe algum motivo específico para você não querer os servidores do AD na pilha do PAM? A melhor solução aqui é adicionar os atributos POSIX / RFC2307 aos usuários do AD e apontar pam_ldap / nss_ldap (ou nss_ldapd) nos servidores do AD.

Se você tem problemas de segurança / carregamento de rede que impedem que você consulte o AD diretamente, você pode usar os recursos de proxy / cache do OpenLDAP ou implantar slaves AD limitados para atender aos hosts Linux.

Aconselho-me a não ter contas "aumentadas" - isso pode ser feito através de alguns hacks bastante sujos, mas na minha experiência é muito frágil confiar em um ambiente de produção. Ele também quebra o paradigma de "uma fonte autoritativa": se AD é seu armazenamento de conta autoritativo, os atributos POSIX devem ser adicionados e gerenciados lá.

    
por 26.01.2010 / 23:34