服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 从Active Directory迁移到OpenLDAP
Intereting Posts
Mysql复制在哪里./data? IOP使用情况在HP Fata Disk Group VMware 5.1中 通过反向代理直接访问文件 Windows中的便携式用户设置 Samba服务器在一段时间后从浏览器列表中消失 HAProxy优雅重新加载零丢包 我如何正确configurationKVM DHCP无法通过路由器递送报价 使用Nagios检查当前在远程系统上login的用户 思科Anyconnect通过Windows上的OpenVPN隧道 什么是Apache httpd的实时请求监视器? 是我的默认文件系统ext4 Netgate SG-1000广域网的静态IP 我怎样才能find一个rpm编译的选项 SQL Server 2005/2008 – 多个文件/文件组 – 多less个? 为什么?

从Active Directory迁移到OpenLDAP

我相当新的LDAP和AD。 我必须将我们目前的授权/authentication结构从AD移植到OpenLDAP。 是否有可能在Windows中运行整个设置? 什么是政策和调整req。的迁移的步骤? 我读了几个教程,所以应该能够按照input。 问候,安东尼

我的第一个答案是不要…

我想你实际问的是:我如何从Microsoft AD域移植到Samba / OpenLDAP / Kerberos设置。 实际上Samba是处理身份validation/授权的一方 – OpenLDAP只是一个目录。

Samba几乎没有组策略 – 你需要从Windows NT4使用NTPOL编辑器 – 它只有XP本地组策略的70-80%的function(在一些聪明人对Samba 4进行了pipe理之前 – 还没有出现,一天也许)。 您可以将Samba策略仅应用于用户组而不是计算机组 – 该列表继续。

没有简单的迁移向导,几乎每个Samba教程都是从头开始的,这也许是你最终做的事情。 最后你会得到一个不如以前那么好的设置 – 我build议你认真考虑是否这是正确的做法(是的,我支持Samba域名,并且希望每一天有一个Windows的)。

  1. 是的,OpenLDAP可以在Windows上运行。 我不会推荐它。 如果您正在运行Windows服务器操作系统,您将会与AD进行更好的集成。
  2. 我不认为OpenLDAP策略和Active Directory策略是完全兼容的。 至less,OpenLDAP在AD上没有“config”目录,AD处理服务器引用的方式不同。 这两个实现也支持不同的扩展(例如,直到最近,AD不支持WHOAMI扩展)。 您可能不得不返回到您的策略文档并为OpenLDAP创build新的ACL。
  3. 如果您使用严格的模式执行,您应该为您的AD数据find正确的对象类。 如果您只是在迁移用户,那么只需转储/导入它们,而不是复制整个LDAP树。 注意密码salting /哈希algorithm。

如果您使用的是AD身份validation,则您的实际身份validation是Kerberos,而不是LDAP。 用户主体存储在LDAP中,是的,但auth步骤是Kerberos。 单独使用OpenLDAP将不会为AD提供function奇偶校验(单点login)。 您需要将其与Kerberos服务器(如Heimdal或MIT Kerberos)配对。

这不是一个简单或简单的过程。 对于任何规模的组织来说,这都是应该由MCSE来完成的,这些MCSE必须牢固地处理企业软件体系结构和一些有关UNIXish操作系统的经验。