Migración de Active Directory a OpenLDAP

Im bastante nuevo a LDAP y AD. Tengo que portar nuestra actual estructura de autorización / authentication de AD a OpenLDAP. ¿Es posible ejecutar toda la installation en windows? ¿Cuáles son los pasos para la migration de las políticas y ajustes necesarios? I'v leer algunos tutoriales, por lo que debe ser capaz de seguir las inputs. Saludos, Anthony G.

2 Solutions collect form web for “Migración de Active Directory a OpenLDAP”

Mi primera respuesta sería no …

Lo que creo que realmente está pidiendo es: ¿Cómo puedo puerto de Microsoft AD Dominio a una installation de Samba / OpenLDAP / Kerberos. Es Samba que realmente maneja el lado de authentication / autorización de las cosas – OpenLDAP es sólo un directory.

Samba apenas hace políticas de grupo – usted necesita utilizar el editor de NTPOL de días de Windows NT4 – él tiene solamente 70-80% de la funcionalidad de la política local del grupo de XP (antes de algún tipo sabio canaliza sobre Samba 4 – no está hacia fuera todavía, uno día tal vez). Sólo puede aplicar la política de Samba a grupos de usuarios y no a grupos de orderadores. La list continúa.

No hay asistentes de migration fáciles, casi todos los tutoriales de Samba lo hacen desde cero, que es lo que puede terminar haciendo. Y al final terminará con una configuration que no es tan buena como antes – le sugiero que pensar largo y duro acerca de si es lo correcto para hacer (y sí sí apoyo un dominio de Samba, y deseo cada día que yo tenía un Windows uno).

  1. OpenLDAP puede ejecutarse en Windows, sí. No lo recomendaría; si está ejecutando un sistema operativo Windows Server obtendrá una mejor integración con AD.
  2. No creo que las políticas de OpenLDAP y las políticas de Active Directory sean totalmente compatibles. Por lo less, OpenLDAP tiene un directory "config" que no está presente en AD, y AD maneja las references de server de manera diferente. Las dos implementaciones también admiten diferentes extensiones (por ejemplo, hasta hace muy poco, la extensión WHOAMI no era compatible con AD). Es probable que tenga que volver a su documento de política y crear nuevas ACL para OpenLDAP.
  3. Si utiliza una estricta aplicación del esquema, que debería, deberá encontrar las classs de object adecuadas para sus datos de AD. Si sólo está migrando usuarios, nada más, podría ser más fácil downloadlos / importarlos que copyr todo el tree LDAP. Tenga cuidado con los algorithms de salting / hash de contraseña.

Si utiliza la authentication de AD, su authentication real es Kerberos, no LDAP. Los principales de usuario se almacenan en LDAP, sí, pero el paso de authentication es Kerberos. OpenLDAP por sí solo no le proporcionará paridad de características (Single Sign On) con AD. Tendrá que emparejarlo con un server Kerberos, como Heimdal o MIT Kerberos, para ello.

Esto no es un process sencillo o fácil. Para una organización de cualquier tamaño, esto es algo que debe ser hecho por un MCSE con un sólido event handling la architecture de software empresarial y algo de experiencia con los sistemas operativos UNIX.

  • Almacenamiento en caching de cnetworkingenciales en el proxy de OpenLDAP
  • ¿cómo puedo utilizar openssl para download mi certificate ldap en el puerto 389 en lugar de 636 (TLS)?
  • ldap esquema en desarrollo debe coincidir con la producción?
  • ¿Por qué syncrepl no hace nada cuando ldapsearch funciona bien?
  • Control de acceso a 100 de la caja LAMP vía LDAP
  • Cómo agregar un atributo nuevo a un object de usuario LDAP existente
  • OpenLDAP + Kerberos authentication - id (NSS) funciona, pero la authentication dice que el usuario es desconocido
  • No se puede iniciar session con KDM y SSSD pero funciona bien desde la console
  • Registros de connection remota de LDAP
  • OpenLDAP Ningún object (32)
  • OpenLDAP TLS - los resultados de la testing en Bad descriptor de file
  • LDAP: copia de seguridad con slapcat vs ldapsearch
  • ¿Cuál es mi BaseDN supuesto para ser con la configuration siguiente de OpenLDAP?
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.