Мы стремимся в первую очередь использовать LDAP как средство аутентификации во всей нашей среде, состоящей как из Linux, так и Windows. Я хотел бы знать, есть ли способ использовать наш существующий сервер LDAP для аутентификации пользователей на машинах Windows с помощью AD? Очевидно, что с инженерной / административной точки зрения было бы очень полезно иметь только одно централизованное место для администратора пользователя. На данный момент мы настраиваем пользователя в LDAP, но это не касается наших компьютеров с Windows, поэтому нам нужно создать пользователей домена в AD. Просто хотелось бы упростить процесс и позволить работать над более важными вещами. Спасибо, парни!
* Я наткнулся на adLDAP, http://adldap.sourceforge.net/, что кажется отличной отправной точкой.
Вы не можете использовать какой-либо старый LDAP-сервер в качестве источника аутентификации для компьютеров Windows. Active Directory - это больше, чем просто сервер LDAP.
Предполагая, что вы не возражаете против использования групповой политики, я бы подумал о создании домена Samba с аутентификацией на основе LDAP, чтобы присоединиться к вашим машинам Windows. Это примерно настолько близко, насколько вы можете приблизиться к среде Active Directory с текущими инструментами на основе Unix. В конечном итоге Samba сможет имитировать домен Active Directory, но его еще нет.
Если вы хотите использовать существующий LDAP в качестве основного (единственного) каталога и отказаться от AD, то ответ Эвана Андерсона будет правильным.
Если вы готовы отказаться от существующего LDAP и основывать все на Active Directory, это должно быть возможно. Все, что в настоящее время аутентифицируется против вашего LDAP, отличного от AD, должно иметь возможность аутентифицироваться в AD благодаря интерфейсу ldap, который предоставляет AD. Конечно, если вы используете LDAP для других целей (а не только для аутентификации), вы можете столкнуться с проблемами, если не сможете заставить AD поддерживать эти функции (путем применения необходимых схем и т. Д.).
Что касается adLDAP, я никогда не использовал его, но быстрый взгляд на предоставленную вами ссылку выглядит так, будто это просто клиентская библиотека для общения с AD. С точки зрения объединения в один каталог, я не думаю, что это вам поможет.
Однако это потенциально может упростить ведение отдельных каталогов. Например, если вы можете модифицировать свое программное обеспечение для управления пользователями LDAP для выполнения внутренних вызовов AD (через adLDAP), то вы можете сделать так, чтобы добавление пользователя в LDAP автоматически добавляло пользователя в AD и т. Д.
Я считаю, что вы можете использовать Samba, kerberos и LDAP для аутентификации компьютеров Windows через AD. Я не уверен, насколько это разумно.
Вы можете использовать инструменты ldap (например, ldapadd, ldapmodify, ldap delete) или библиотеки, например. Модули PHP или perl LDAP для заполнения и поддержки записей в AD.
Таким образом, нет причин, по которым вы не можете написать сценарий для управления пользователями, который не обновляет каталоги LDAP и AD одновременно.