У нас около 70% пользователей Linux, и все они настроены на аутентификацию в Active Directory через LDAP. Чтобы это работало, мы использовали «Службы Windows для Unix» под Windows Server 2003, и все это работает нормально.
Сейчас мы находимся на этапе, когда сервер, на котором запущено это изобретение, немного устает и будет заменен на более новую машину, работающую под управлением Windows Server 2008 (где соответствующие службы, такие как сопоставление имен пользователей и изменение пароля и т. Д., Интегрированы с ОС).
И вот загвоздка: если через сервер Win2k3 настраивается новый пользователь, то все нормально работает. Если то же самое проделать через сервер Win2k8, то:
Кто-нибудь сталкивался с этой проблемой? Если да, то как вы это преодолели?
Если вам нужна дополнительная информация для оказания дальнейшей помощи, просто спросите, и я предоставлю ее.
Сопоставление имен LDAP в Windows 2000 и Windows 2000 изменилось. Новое сопоставление (для применения в /etc/ldap.conf):
nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber uidNumber
nss_map_attribute gidNumber gidNumber
nss_map_attribute cn sAMAccountName
nss_map_attribute uniqueMember member
nss_map_attribute userPassword msSFUPassword
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute loginShell loginShell
nss_map_attribute gecos cn
nss_map_objectclass posixGroup Group
nss_map_attribute shadowLastChange pwdLastSet
Пожалуйста, дайте мне знать, если это поможет. Возможно, вам также придется перенести старых пользователей - я бы использовал ldapsearch и сравнивал новых и старых пользователей (но я думаю, что у них будут просто оба атрибута, если я помню)
Я решил опубликовать здесь еще один ответ, так как обычно это место, где люди находят информацию, которую они ищут.
Хотя все вышесказанное по-прежнему актуально и верно, теперь я нашел гораздо более простой способ подключения моих клиентов через AD. Debian squeeze (последний стабильный выпуск) содержит sssd (пакет, происходящий из среды redhat / fedora), что упрощает все это. После установки он находит и предлагает контроллеры домена, и мне нужно было только немного изменить в конфигурационном файле, чтобы он работал у меня. Он отлично работает с Windows Server 2008, а также может кэшировать пароли (что важно для пользователей портативных компьютеров).