我需要一些关于AD和OpenLDAP用户数据库集成/同步的指导。 这是我想要做的。
我们有完整的Linux数据库(Ubuntu 10.4),OpenLDAP上的用户只使用开源应用程序(POSTFIX,Fileserver,打印服务器,Apache,VPN等)。 目前所有的Windows客户端机器(大多数是7和Vista)不在一个域上。 我们希望引入Active Directory,因为它在处理用户方面有出色的function,而且还可以处理更新补丁,并且可以对使用组策略的用户有各种限制。
我一直在网上挖了几天,但没有find可以将用户信息从AD同步到openldap的东西,所以我们可以为所有应用程序提供一个用户密码。 我们希望有一个集中的用户数据库,所有应用程序都有一个密码。
我希望我能够解释正确的我正在寻找的东西。 请让我知道,如果你已经实现了类似的东西,同步AD和OpenLDAP之间的用户密码信息。 我会感激任何input。
要走的路是kerberize的Linuxlogin。 这样密码被发送到AD,而所有其他信息将从LDAP中获取。 它在这里工作,但我没有脚本在手边。
我处理类似情况的方式是在每个Active Directory域控制器上安装一个密码filterDLL,该控制器会截取所有密码更改,然后将其插入到我的同步系统中。 我用passwdhk ,它工作正常; 它将自行注册密码更改事件,然后将事件传递给您指定的外部程序或脚本。 我唯一需要注意的是你要注意你运行什么脚本或程序,因为它可以访问明文密码(例如,你不需要一个脚本保存并打印一个堆栈跟踪如果有人使用不好的字符,它的密码)。
我们调查了其他几个解决scheme,包括
最后,密码filter成为最稳健和最安全的解决scheme,而且实现起来并不像我最初想象的那样困难。