Кто-нибудь знает решение, которое позволило бы мне синхронизировать учетные записи пользователей между Windows Active Directory и сервером LDAP, размещенным на сервере Linux? Сейчас я ищу FreeIPA (www.freeIPA.org) и 389DS (http://directory.fedoraproject.org).
Я хочу выполнить синхронизацию учетных записей, потому что сервер AD развертывается в нашей штаб-квартире, которая не защищена (без поддержки генератора и только 1 подключение к Интернету), тогда как сервер LDAP Linux развертывается в защищенном центре обработки данных. Все машины в центре обработки данных работают под управлением Linux, а 90% машин в штаб-квартире работают под управлением Windows. Я понимаю, что 389DS и FreeIPA имеют синхронизацию для пользователей, но для них также требуется установка отдельной программы для паролей. Мне было любопытно, знает ли кто-нибудь, как связать подчиненное устройство Kerberos в Linux с сервером Linux LDAP для аутентификации пароля и получать его обновления с сервера Windows, чтобы не нужно было устанавливать никаких дополнительных приложений, и чтобы если Сервер AD выходит из строя, узлы Linux по-прежнему смогут пройти аутентификацию на сервере LDAP Linux.
Около 50% наших пользователей основаны исключительно на Windows, 45% наших пользователей имеют дело как с Windows, так и с Linux, а последние 5% используют исключительно Apple, и в настоящее время я пытаюсь получить систему, которая позволит пользователю только знать 1 имя пользователя и пароль для входа во все наши системы.
Если вы действительно хотите сделать это правильно, вам следует развернуть контроллер домена в своем центре обработки данных и проверить подлинность ваших систем Linux (добавьте расширения POSIX в AD и сделайте каждую учетную запись AD, для которой требуется доступ Unix, учетной записью POSIXAccount).
Попытка сделать AD подчиненным другому хранилищу аутентификации / авторизации чрезвычайно сложно и подвержено сбоям. В отличие от этого системы Unix обычно могут без особых усилий пройти аутентификацию в AD (рассматривая его как обычный LDAP).
Использование этого маршрута имеет ряд преимуществ - среди них у вас есть дополнительный контроллер домена AD (в центре обработки данных, от батареи / ИБП), и вы получаете работающее единое хранилище аутентификации.
Active Directory - это больше, чем просто набор объектов и атрибутов LDAP. Некоторые протоколы взаимодействия являются проприетарными, многие чувствительные к безопасности атрибуты и API заблокированы, не расширяются никакими перехватчиками и могут быть вызваны только доверенным кодом. Использование другого GINA для обработки обновлений пароля - это то, что обычно делается (tm) в мире Windows, если у вас есть какой-либо дополнительный каталог, в который можно записать смену пароля.
Возможно, вы захотите изучить Novell eDirectory / NDS и набор функций SSO - он в значительной степени был разработан с учетом гетерогенных сред Linux / Windows.
Samba 4 только что вышла; это первая версия, "полностью" совместимая с Active Directory.
У меня еще не было возможности поиграть с ним, но поскольку он * nix native и Совместимость с AD, возможно, это лучший метод в будущем.