O caminho a percorrer é desvendar o logon do Linux. Dessa forma, a senha é enviada para o AD, enquanto todas as outras informações serão buscadas no LDAP. Funciona aqui, mas eu não tenho os scripts em mãos.
Preciso de alguma orientação com a integração / sincronização do banco de dados de usuários do AD e do OpenLDAP. Aqui está o que estou tentando fazer.
Temos um banco de dados Linux completo (Ubuntu 10.4) com usuários no OpenLDAP e usando apenas aplicativos de código aberto (POSTFIX, servidor de arquivos, servidor de impressão, Apache, VPN etc.). Atualmente, todas as máquinas clientes do Windows (principalmente 7 e Vista) não estão em um domínio. Queremos introduzir o Active Directory por causa de seus excelentes recursos quando se trata de lidar com usuários, e também com ele também pode manipular patches de atualização e podemos ter uma variedade de restrições em usuários usando políticas de grupo.
Eu tenho cavado na web por alguns dias, mas não tive sorte em encontrar algo que possa sincronizar informações do usuário do AD para o openldap, para que possamos ter uma senha de usuário para todos os aplicativos. Gostaríamos de ter um banco de dados de usuários centralizado com uma senha para todos os aplicativos.
Espero ter conseguido explicar o que estou procurando. Por favor, deixe-me saber se você implementou algo semelhante para sincronizar informações de senha de usuário entre o AD e o OpenLDAP. Eu apreciarei qualquer entrada.
O caminho a percorrer é desvendar o logon do Linux. Dessa forma, a senha é enviada para o AD, enquanto todas as outras informações serão buscadas no LDAP. Funciona aqui, mas eu não tenho os scripts em mãos.
A maneira como lidei com uma situação semelhante foi instalar uma DLL de filtro de senha em cada controlador de domínio do Active Directory, que capturou todas as alterações de senha e inseriu-as no meu sistema sincronizado. Eu usei passwdhk , e funcionou bem; ele se registrará para eventos de mudança de senha e, em seguida, passará o evento para um programa ou script externo que você especificar. A única grande advertência que tenho é que você vai querer ter cuidado com o script ou programa que executa, pois ele terá acesso a senhas de texto simples (por exemplo, você não quer um script que salve e imprima um rastreio de pilha com a senha nela se alguém usar um caractere ruim).
Investigamos várias outras soluções, incluindo:
No final, o filtro de senhas acabou sendo a solução mais robusta e segura, e não foi tão difícil de implementar quanto eu pensava que seria.