Назад | Перейти на главную страницу

Миграция из Active Directory в OpenLDAP

Я новичок в LDAP и AD. Мне нужно перенести нашу нынешнюю структуру авторизации / аутентификации из AD в OpenLDAP. Можно ли запустить всю настройку в windows? Какие шаги необходимо выполнить для переноса политик и требуемых корректировок? Я прочитал несколько руководств, поэтому должен иметь возможность следить за вводными данными. С уважением, Энтони Г.

Мой первый ответ был бы не ...

Я думаю, вы на самом деле спрашиваете: Как мне перенести из домена Microsoft AD в установку Samba / OpenLDAP / Kerberos. Это Samba, которая на самом деле обрабатывает стороны аутентификации / авторизации - OpenLDAP - это просто каталог.

Samba почти не использует групповые политики - вам нужно использовать редактор NTPOL из дней Windows NT4 - он имеет только 70-80% функциональности локальной групповой политики XP (до того, как какой-то умник сообщит о Samba 4 - она еще не вышла, один день возможно). Вы можете применять политику Samba только к группам пользователей, но не к группам компьютеров - этот список можно продолжить.

Не существует простых мастеров миграции, почти все учебные пособия по Samba делают это с нуля, что вы можете в конечном итоге сделать. И, в конце концов, вы получите не такую хорошую настройку, как раньше - я предлагаю вам хорошенько подумать о том, правильно ли это делать (и да, я поддерживаю домен Samba и желаю каждый день была винда одна).

Да, OpenLDAP может работать в Windows. Я бы не стал рекомендовать это; если вы используете серверную ОС Windows, вы получите лучшую интеграцию с AD.
Я не думаю, что политики OpenLDAP и Active Directory полностью совместимы. По крайней мере, OpenLDAP имеет каталог config, отсутствующий в AD, и AD обрабатывает ссылки на сервер по-другому. Две реализации также поддерживают разные расширения (например, до недавнего времени расширение WHOAMI не поддерживалось в AD). Возможно, вам придется вернуться к документу политики и создать новые списки ACL для OpenLDAP.
Если вы используете строгое соблюдение схемы, что вам и следовало бы сделать, вам нужно будет найти правильные объектные классы для ваших данных AD. Если вы просто переносите пользователей, не более того, их может быть проще сбросить / импортировать, чем скопировать все дерево LDAP. Следите за алгоритмами хеширования / слияния паролей.

Если вы используете аутентификацию AD, ваша фактическая аутентификация - Kerberos, а не LDAP. Принципы пользователей: хранится в LDAP - да, но этап аутентификации - Kerberos. Сам по себе OpenLDAP не даст вам функционального паритета (единого входа) с AD. Для этого вам нужно связать его с сервером Kerberos, например Heimdal или MIT Kerberos.

Это непростой и легкий процесс. Для организации любого размера это должно быть сделано MCSE с твердым знанием архитектуры программного обеспечения предприятия и некоторым опытом работы с операционными системами UNIX.