Integração do banco de dados de usuários do Active Directory e OpenLDAP

Navegue suas respostas
2

Preciso de alguma orientação com a integração / sincronização do banco de dados de usuários do AD e do OpenLDAP. Aqui está o que estou tentando fazer.

Temos um banco de dados Linux completo (Ubuntu 10.4) com usuários no OpenLDAP e usando apenas aplicativos de código aberto (POSTFIX, servidor de arquivos, servidor de impressão, Apache, VPN etc.). Atualmente, todas as máquinas clientes do Windows (principalmente 7 e Vista) não estão em um domínio. Queremos introduzir o Active Directory por causa de seus excelentes recursos quando se trata de lidar com usuários, e também com ele também pode manipular patches de atualização e podemos ter uma variedade de restrições em usuários usando políticas de grupo.

Eu tenho cavado na web por alguns dias, mas não tive sorte em encontrar algo que possa sincronizar informações do usuário do AD para o openldap, para que possamos ter uma senha de usuário para todos os aplicativos. Gostaríamos de ter um banco de dados de usuários centralizado com uma senha para todos os aplicativos.

Espero ter conseguido explicar o que estou procurando. Por favor, deixe-me saber se você implementou algo semelhante para sincronizar informações de senha de usuário entre o AD e o OpenLDAP. Eu apreciarei qualquer entrada.

    
por user95198 19.09.2011 / 21:54

2 respostas

1

O caminho a percorrer é desvendar o logon do Linux. Dessa forma, a senha é enviada para o AD, enquanto todas as outras informações serão buscadas no LDAP. Funciona aqui, mas eu não tenho os scripts em mãos.

    
por 23.09.2011 / 10:12
0

A maneira como lidei com uma situação semelhante foi instalar uma DLL de filtro de senha em cada controlador de domínio do Active Directory, que capturou todas as alterações de senha e inseriu-as no meu sistema sincronizado. Eu usei passwdhk , e funcionou bem; ele se registrará para eventos de mudança de senha e, em seguida, passará o evento para um programa ou script externo que você especificar. A única grande advertência que tenho é que você vai querer ter cuidado com o script ou programa que executa, pois ele terá acesso a senhas de texto simples (por exemplo, você não quer um script que salve e imprima um rastreio de pilha com a senha nela se alguém usar um caractere ruim).

Investigamos várias outras soluções, incluindo:

  1. Usando criptografia reversível para armazenar as senhas
  2. Configurando uma página da web para as pessoas alterarem suas senhas, o que levaria a senha do texto não criptografado enquanto ele estava e o adicionaria ao novo sistema
  3. Desmembrando o arquivo de hash da senha do AD regularmente e, em seguida, criptografando-o novamente no novo sistema

No final, o filtro de senhas acabou sendo a solução mais robusta e segura, e não foi tão difícil de implementar quanto eu pensava que seria.

    
por 23.09.2011 / 09:58

Tags

Diferença entre o IIS7 Redefinir o site e o IIS7 Site Stop / Start Como posso garantir que um script seja executado após um serviço ser interrompido, mas antes que outro serviço seja interrompido?