Autenticação unificada entre o Windows AD e o servidor LDAP Linux

3

Alguém sabe de uma solução que me permita fazer a sincronização de contas de usuários entre o Windows Active Directory e um servidor LDAP hospedado em um servidor Linux? Atualmente estou olhando para FreeIPA (www.freeIPA.org) e 389DS ( link ).

Estou procurando fazer a sincronização da conta porque o servidor AD está sendo implantado em nossa sede, que não está protegida (sem backup de gerador e apenas 1 conexão com a Internet), enquanto o servidor LDAP está sendo implantado em um datacenter robusto. Todas as máquinas no datacenter são baseadas em Linux e 90% das máquinas no HQ são Windows. Eu entendo que o 389DS e o FreeIPA têm a sincronização para os usuários, mas eles exigem um programa separado para ser instalado para fazer as senhas também. Fiquei curioso se alguém soubesse como fazer com que um escravo do Kerberos no Linux fosse colocado no servidor LDAP do Linux para autenticação de senha e recebesse suas atualizações do servidor Windows, para que nenhum aplicativo extra precisasse ser instalado e, assim, se Servidor AD vai para baixo os hosts Linux ainda será capaz de autenticar contra o servidor LDAP Linux.

Cerca de 50% dos nossos usuários são exclusivamente baseados no Windows, 45% dos nossos usuários lidam com Windows e Linux, e os últimos 5% usam apenas a Apple, e atualmente estou tentando obter um sistema que permita a um usuário para saber apenas 1 nome de usuário e senha para entrar em todos os nossos sistemas.

    
por John Gardeniers 21.12.2012 / 02:01

3 respostas

2

Há mais no Active Directory do que apenas um monte de atributos e objetos LDAP. Alguns dos protocolos de interoperabilidade são proprietários, muitos atributos sensíveis à segurança e APIs são bloqueados, não são extensíveis por nenhum tipo de ganchos e só podem ser chamados por código confiável. Usar uma GINA diferente para lidar com atualizações de senha é o que geralmente é feito (tm) no mundo do Windows se você tiver qualquer diretório secundário para gravar sua alteração de senha.

Você pode querer olhar para o eDirectory / NDS da Novell e o conjunto de recursos do SSO - ele foi muito bem projetado com ambientes heterogêneos de Linux / Windows em mente.

    
por 21.12.2012 / 02:30
3

Se você realmente quiser fazer isso corretamente, você deve implantar um controlador de domínio em seu datacenter e fazer com que seus sistemas Linux sejam autenticados (adicione as extensões POSIX ao AD e estenda cada conta do AD que precise de acesso Unix para ser uma conta POSIX) .

Tentar tornar o AD subordinado a outro armazenamento de autenticação / autorização é extremamente difícil e propenso a falhas. Em contraste, os sistemas Unix são geralmente capazes de autenticar-se contra o AD (tratando-o como LDAP simples) sem muito esforço.

Seguir esse caminho tem vários benefícios - entre eles, você tem um controlador de domínio AD secundário (no datacenter, com bateria / UPS) e você obtém um armazenamento de autenticação única em funcionamento.

    
por 21.12.2012 / 04:41
0

O Samba 4 acaba de ser lançado; esta é a primeira versão que é "totalmente" compatível com o Active Directory.

Ainda não tive chance de jogar com ele, mas como é compatível com o nim nativo e , esse pode ser o melhor método daqui para frente.

    
por 21.12.2012 / 03:26