Сейчас я работаю над миграцией LDAP и Active Directory. Я хочу перейти на LDAP, но не могу получить пароли из Active Directory. Я хочу легко перейти на LDAP, и мне нужно такое решение: я хочу, чтобы клиент подключался к LDAP, и если пользователь еще не зарегистрирован в LDAP, то я хочу, чтобы сервер LDAP перешел в Active Directory и запросил аутентификацию . После того, как Active Directory выполнит проверку подлинности, я хочу, чтобы LDAP самостоятельно зарегистрировал его в базе данных в LDAP и запросил новый пароль в KDM.
Наилучшие пожелания
LDAP Active Directory не обеспечивает аутентификацию LDAP, а вместо этого предоставляет аутентификацию Kerberos. Если вы получите учетные записи пользователей AD LDAP (например, с помощью ldapsearch), вы увидите, что поле «Пароль» оставлено пустым, поскольку это не место для аутентификации.
OpenLDAP обеспечивает аутентификацию LDAP (которая в какой-то момент похожа на базовый пароль apache auth: открытый текст (только закодированный)). Обе аутентификации несовместимы (а аутентификация LDAP не обеспечивает SSO, как аутентификация Kerberos).
Что вам нужно сделать, так это создать сервер Kerberos для аутентификации. ваша база данных OpenLDAP может быть получена из AD. Вам потребуется межсферное доверие аутентификации между Kerberos, которым AD доверяет (чтобы позволить пользователям проходить аутентификацию, даже если они еще не находятся в kerberos / OpenLDAP).
Вы, кажется, все равно недооцениваете сложность этой задачи. Завершить это само по себе довольно сложно. Но тогда у вас будет несовместимость, если вам нужно управлять рабочими столами Windows.