我有一个使用OpenLDAP的用户信息和Kerberos身份validation的工作良好的设置,但我们也需要Windows集成,为此我们决定进入Active Directory可能是一个好主意。 从OpenLDAP移动帐户信息是相当简单,容易完成,但我有一个问题:如何将密码/身份validation信息从MIT Kerberos移动到AD?
我理解他们之间的某种代表是可能的,但这不能解决我的问题? 或者我可以对MIT Kerberos KDC进行ADauthentication吗? 密码存储在Kerberos中的哈希中,所以我不能移动它们的明文。 我不知道MIT和AD之间的哈希是否兼容,因为我也可以以密码forms将密码input到AD中。
有没有人有这方面的经验? 除了要求我的所有用户更改密码,并且在所有authentication从一个地方切换到另一个地方而没有任何共存的情况下都有一个麻烦之外,您的build议是什么?
但我有一个问题:如何将密码/authentication信息从MIT Kerberos移动到AD?
你没有。 虽然Kerberos哈希在系统之间必须相同,因为它们被用作encryption和解密密钥,所有的公共API都不允许直接设置它们。 鉴于AD要求给予明文密码,并且您的LDAP / KRB5安装会忠实地丢弃该密码,您需要等待密码更改或破坏基本规则,并至less暂时保持密码的可逆forms,假设您已经有一些中间件可以将密码更改发送到您可以testing的OpenLDAP / Kerberos。
我理解他们之间的某种代表是可能的,但这不能解决我的问题? 或者我可以对MIT Kerberos KDC进行ADauthentication吗?
这是我们目前正在考虑的方法。 使用Kerberos对Windows进行身份validation这被称为跨领域信任。 一些重要的事情要注意。 寻找所有领域通用的encryptiontypes是至关重要的,并且通常依赖于AD。 您使用的AD版本通常决定当天的地下室。 设置这个最好的指南,我发现实际上来自微软: Windows Server 2003的Kerberos互操作性分步指南 。 我遇到的关键问题是告诉哪个encryptiontypes用于跨领域的信任,很久以前写的其他指南忽略了提及。
这是一个好主意,看看使用像下面的链接的解决scheme:
http://www.centrify.com/solutions/unix-linux-identity-management.asp
就迁移而言,您可以使用像PCNS这样的系统进行密码同步。 您可以同时运行两个系统,并有几个“每个人都重置密码”天,以确保它们在移动之前同步。 PCNS是比Kerberos互操作性更好的解决scheme。
PCNS(密码更改通知服务)在域控制器上运行,并将密码转发到“目标”,然后设置密码。 以下链接解释了如何做到这一点。
http://technet.microsoft.com/en-us/library/bb463208.aspx
如果您正在构build新的AD森林,请参阅安全GPO设置。 这样你就可以开始尽可能安全…我在谈论NTLM版本,LDAP签署等…
Samba4和freeipa可以允许Windows工作站进行身份validation。 你有没有考虑过其中之一。