Integração com o LDAP Active Directory

3

Estamos procurando usar o LDAP como meio de autenticação em todo o ambiente, consistindo em caixas Linux e Windows. Gostaria de saber se existe uma maneira de usar nosso servidor LDAP existente para autenticar usuários nas máquinas Windows usando AD? Isso obviamente ajudaria muito de um ponto de vista de engenharia / administrativo para ter apenas um local centralizado para o usuário admin. A partir de agora, configuramos um usuário no LDAP, mas isso não toca em nossas máquinas Windows, portanto, precisamos criar usuários de domínio no AD. Só gostaria de simplificar o processo e permitir o trabalho em coisas mais importantes. Valeu pessoal!

* Eu tropecei no adLDAP, link , que parece ser um excelente ponto de partida.

    
por Chase 22.10.2010 / 18:16

3 respostas

3

Você não pode usar qualquer servidor LDAP antigo como fonte de autenticação para máquinas Windows. O Active Directory é mais do que apenas um servidor LDAP.

Supondo que você não se importa em não ter Diretiva de Grupo, eu consideraria criar um domínio Samba com autenticação com suporte LDAP para ingressar em suas máquinas Windows. Isso é o mais próximo que você pode chegar de um ambiente do Active Directory com as ferramentas atuais baseadas no Unix. O Samba poderá eventualmente emular um domínio do Active Directory, mas ainda não está lá.

    
por 22.10.2010 / 18:55
1

Se você está procurando usar o seu LDAP existente como seu diretório principal (único) e abandonar o AD, então a resposta do Evan Anderson está no local.

Se você estiver disposto a abandonar seu LDAP existente e basear tudo fora do Active Directory, isso deve ser possível. Qualquer coisa que atualmente seja autenticada no seu ldap não-AD deve ser capaz de autenticar no AD, graças à interface do ldap que o AD expõe. Claro, se você estiver usando LDAP para outras coisas (não apenas autenticação), então você pode ter problemas, a menos que você possa obter o AD para suportar essas funções também (aplicando os esquemas necessários, etc.)

Quanto ao adLDAP, nunca o usei, mas uma rápida olhada no link que você forneceu parece ser simplesmente uma biblioteca cliente para falar com o AD. Do ponto de vista da consolidação para um diretório, não acho que isso ajude você.

No entanto, isso poderia facilitar a manutenção de diretórios separados. Por exemplo, se você pudesse modificar seu software de gerenciamento de usuários LDAP para fazer chamadas de back-end para o AD (via adLDAP), você poderia fazer com que adicionar um usuário ao LDAP adicionasse automaticamente um usuário ao AD, etc.

    
por 22.10.2010 / 22:12
0

Eu acredito que você pode usar o Samba, Kerberos e LDAP para autenticar máquinas Windows através do AD. Não tenho certeza de como isso é sábio.

Você pode usar ferramentas ldap (por exemplo, ldapadd, ldapmodify, ldap delete) ou bibliotecas, por exemplo. Módulos LDAP PHP ou perl para preencher e manter entradas no AD.

Portanto, não há motivo para você não poder escrever um script para gerenciamento de usuários que não atualize seus diretórios LDAP e AD ao mesmo tempo.

    
por 11.06.2016 / 07:11