Migração do diretório ativo para o OpenLDAP

4

Sou muito novo no LDAP e no AD. Tenho que portar nossa atual estrutura de autorização / autenticação do AD para o OpenLDAP. É possível executar toda a configuração no windows? Quais são as etapas para a migração das políticas e ajustes necessários? Eu li alguns tutoriais, então deveria ser capaz de seguir as entradas. Atenciosamente, Anthony G.

    
por Ben Pilbrow 07.07.2010 / 08:04

2 respostas

2

Minha primeira resposta seria não ...

O que eu acho que você está realmente perguntando é: Como eu mudo do domínio do Microsoft AD para uma configuração do Samba / OpenLDAP / Kerberos. É o Samba que realmente lida com o lado de autenticação / autorização - o OpenLDAP é apenas um diretório.

O Samba mal faz diretivas de grupo - você precisa usar o editor NTPOL do Windows NT4 dias - ele tem apenas 70-80% da funcionalidade da diretiva de grupo local do XP (antes que algum sábio fale sobre o Samba 4 - não está fora ainda, um dia talvez). Você pode aplicar a política do Samba apenas a grupos de usuários e não a grupos de computadores - a lista continua.

Não há assistentes fáceis de migração, praticamente todo tutorial do Samba faz isso do zero, que é o que você pode acabar fazendo. E no final você vai acabar com uma configuração que não é tão boa quanto antes - eu sugiro que você pense longa & muito sobre se é a coisa certa a fazer (e sim eu apoio um domínio Samba, e desejo que todos os dias eu tivesse um Windows).

    
por 07.07.2010 / 09:04
1
  1. O OpenLDAP pode ser executado no Windows, sim. Eu realmente não recomendaria; Se você estiver executando um sistema operacional de servidor Windows, obterá uma melhor integração com o AD.
  2. Não acredito que as políticas do OpenLDAP e do Active Directory sejam totalmente compatíveis. No mínimo, o OpenLDAP tem um diretório "config" não presente no AD, e o AD lida com as referências do servidor de maneira diferente. As duas implementações também suportam extensões diferentes (por exemplo, até muito recentemente, a extensão WHOAMI não era suportada no AD). Você provavelmente terá que voltar ao seu documento de política e criar novas ACLs para o OpenLDAP.
  3. Se você usar a imposição estrita do esquema, você deverá encontrar as objectclasses corretas para seus dados do AD. Se você está apenas migrando usuários, nada mais, pode ser mais fácil despejá-los / importá-los do que copiar toda a árvore LDAP. Cuidado com os algoritmos de salgamento / hash de senha.

Se você estiver usando a autenticação do AD, sua autenticação real é Kerberos, não LDAP. Os principais do usuário são armazenados no LDAP, sim, mas a etapa de autenticação é Kerberos. O OpenLDAP sozinho não oferece paridade de recursos (Single Sign On) com o AD. Você precisará emparelhá-lo com um servidor Kerberos, como o Heimdal ou o MIT Kerberos, para isso.

Este não é um processo simples ou fácil. Para uma organização de qualquer tamanho, isso é algo que deve ser feito por um MCSE com um sólido controle sobre arquitetura de software corporativo e alguma experiência com sistemas operacionais UNIXish.

    
por 07.07.2010 / 08:53