Migración de Active Directory a OpenLDAP

Im bastante nuevo a LDAP y AD. Tengo que portar nuestra actual estructura de autorización / authentication de AD a OpenLDAP. ¿Es posible ejecutar toda la installation en windows? ¿Cuáles son los pasos para la migration de las políticas y ajustes necesarios? I'v leer algunos tutoriales, por lo que debe ser capaz de seguir las inputs. Saludos, Anthony G.

2 Solutions collect form web for “Migración de Active Directory a OpenLDAP”

Mi primera respuesta sería no …

Lo que creo que realmente está pidiendo es: ¿Cómo puedo puerto de Microsoft AD Dominio a una installation de Samba / OpenLDAP / Kerberos. Es Samba que realmente maneja el lado de authentication / autorización de las cosas – OpenLDAP es sólo un directory.

Samba apenas hace políticas de grupo – usted necesita utilizar el editor de NTPOL de días de Windows NT4 – él tiene solamente 70-80% de la funcionalidad de la política local del grupo de XP (antes de algún tipo sabio canaliza sobre Samba 4 – no está hacia fuera todavía, uno día tal vez). Sólo puede aplicar la política de Samba a grupos de usuarios y no a grupos de orderadores. La list continúa.

No hay asistentes de migration fáciles, casi todos los tutoriales de Samba lo hacen desde cero, que es lo que puede terminar haciendo. Y al final terminará con una configuration que no es tan buena como antes – le sugiero que pensar largo y duro acerca de si es lo correcto para hacer (y sí sí apoyo un dominio de Samba, y deseo cada día que yo tenía un Windows uno).

  1. OpenLDAP puede ejecutarse en Windows, sí. No lo recomendaría; si está ejecutando un sistema operativo Windows Server obtendrá una mejor integración con AD.
  2. No creo que las políticas de OpenLDAP y las políticas de Active Directory sean totalmente compatibles. Por lo less, OpenLDAP tiene un directory "config" que no está presente en AD, y AD maneja las references de server de manera diferente. Las dos implementaciones también admiten diferentes extensiones (por ejemplo, hasta hace muy poco, la extensión WHOAMI no era compatible con AD). Es probable que tenga que volver a su documento de política y crear nuevas ACL para OpenLDAP.
  3. Si utiliza una estricta aplicación del esquema, que debería, deberá encontrar las classs de object adecuadas para sus datos de AD. Si sólo está migrando usuarios, nada más, podría ser más fácil downloadlos / importarlos que copyr todo el tree LDAP. Tenga cuidado con los algorithms de salting / hash de contraseña.

Si utiliza la authentication de AD, su authentication real es Kerberos, no LDAP. Los principales de usuario se almacenan en LDAP, sí, pero el paso de authentication es Kerberos. OpenLDAP por sí solo no le proporcionará paridad de características (Single Sign On) con AD. Tendrá que emparejarlo con un server Kerberos, como Heimdal o MIT Kerberos, para ello.

Esto no es un process sencillo o fácil. Para una organización de cualquier tamaño, esto es algo que debe ser hecho por un MCSE con un sólido event handling la architecture de software empresarial y algo de experiencia con los sistemas operativos UNIX.

  • ¿Cómo puedo combinar treees OpenLDAP para la authentication de usuarios?
  • ¿Replicar desde OpenDJ a OpenLDAP?
  • Kerberos con LDAP backend sigue utilizando db2
  • Liferay y la count LDAP de export
  • MIT Kerberos con backend de OpenLDAP - TLS ok cuando KDC comenzó interactivamente pero el script de init falla
  • ¿Cómo migrar de Samba4-AD a openLDAP?
  • Obtener información de la política de passwords del server LDAP
  • Diferencia entre openldap 2.3 y 2.4
  • LDAP con TLS: error de connection (-11)
  • Autenticación del sistema LDAP en Ubuntu
  • ¿cómo puedo utilizar openssl para download mi certificate ldap en el puerto 389 en lugar de 636 (TLS)?
  • authentication ssh con ldap
  • Especifique la longitud mínima del atributo
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.