有谁知道一个解决scheme,可以让我做Windows Active Directory和托pipe在Linux服务器上的LDAP服务器之间的用户帐户同步? 我目前在看FreeIPA(www.freeIPA.org)和389DS( http://directory.fedoraproject.org )。
我期待做帐户同步,因为AD服务器正在部署在我们的总部,没有硬化(没有生成器支持,只有一个互联网连接),而Linux LDAP服务器正在部署到一个硬化的数据中心。 数据中心中的所有机器都是基于Linux的,总部的机器中有90%是Windows。 我知道389DS和FreeIPA有同步的用户,但他们需要安装一个单独的程序来做密码。 我很好奇,如果有人知道如何让Linux中的Kerberos从机与Linux LDAP服务器进行密码authentication,并从Windows服务器接收更新,那么不需要安装额外的应用程序, AD服务器closures后,Linux主机仍然可以通过Linux LDAP服务器进行身份validation。
我们大约50%的用户都是基于Windows的用户,45%的用户使用Windows和Linux,最后5%的用户使用苹果电脑,而我目前正试图build立一个让用户只知道1个用户名和密码login到我们所有的系统。
Active Directory不仅仅是一堆LDAP对象和属性。 一些互操作协议是专有的,许多安全敏感的属性和API被locking,不能被任何types的钩子扩展,只能被可信代码调用。 使用不同的GINA来处理密码更新是Windows世界中常见的做法(tm),如果您有任何辅助目录将您的密码更改为。
您可能需要考虑Novell的eDirectory / NDS和SSOfunction集 – 它的devise非常考虑到异构的Linux / Windows环境。
如果你真的想正确地做到这一点,你应该在你的数据中心部署一个域控制器,并让你的Linux系统进行validation(将POSIX扩展添加到AD,并将每个需要访问Unix的AD帐户扩展为POSIXAccount)。
试图让AD服从于另一个authentication/授权存储是非常困难和容易出错的。 相比之下,Unix系统通常能够对AD进行身份validation(将其视为普通的vanilla LDAP),而不需要太多的努力。
采取这种方式有许多好处 – 其中有一个辅助AD域控制器(位于数据中心,位于电池/不间断电源),您将获得一个可用的单一身份validation存储。
Samba 4刚刚发布, 这是“完全”与Active Directory兼容的第一个版本。
我还没有玩过它的机会,但是由于它是* nix native 和 AD兼容的,所以它可能是最好的方法。