Назад | Перейти на главную страницу

Интеграция пользовательской базы данных Active Directory и OpenLDAP

Мне нужно руководство по интеграции / синхронизации пользовательских баз данных AD и OpenLDAP. Вот что я пытаюсь сделать.

У нас есть полная база данных Linux (Ubuntu 10.4) с пользователями на OpenLDAP и использующими только приложения с открытым исходным кодом (POSTFIX, файловый сервер, сервер печати, Apache, VPN и т. Д.). В настоящее время все клиентские машины Windows (в основном 7 и Vista) не находятся в домене. Мы хотим представить Active Directory из-за его отличных функций, когда дело доходит до работы с пользователями, плюс он также может обрабатывать исправления обновлений, и мы можем иметь множество ограничений для пользователей, использующих групповые политики.

Я копался в Интернете пару дней, но мне не удалось найти что-то, что могло бы синхронизировать информацию о пользователях из AD в openldap, чтобы мы могли иметь один пароль пользователя для всех приложений. Мы хотели бы иметь централизованную базу данных пользователей с одним паролем для всех приложений.

Я надеюсь, что смог правильно объяснить то, что ищу. Сообщите мне, реализовали ли вы что-то подобное для синхронизации информации о паролях пользователей между AD и OpenLDAP. Буду признателен за любой вклад.

Выход - керберизовать вход в Linux. Таким образом, пароль будет отправлен в AD, а вся остальная информация будет получена из LDAP. Здесь он работает, но у меня под рукой нет скриптов.

Я справился с подобной ситуацией, установив DLL-фильтр паролей на каждом контроллере домена Active Directory, который улавливал все изменения паролей и затем вставлял их в мою синхронизированную систему. я использовал passwdhk, и он работал нормально; он зарегистрирует себя для событий смены пароля, а затем передаст событие внешней программе или сценарию, который вы укажете. Единственное серьезное предостережение, которое у меня есть, заключается в том, что вы должны быть осторожны с тем, какой сценарий или программу вы запускаете, поскольку у них будет доступ к паролям в виде открытого текста (например, вам не нужен сценарий, который сбрасывает и печатает трассировку стека с пароль в нем, если кто-то использует плохой символ).

Мы исследовали несколько других решений, в том числе:

  1. С помощью обратимое шифрование хранить пароли
  2. Настройка веб-страницы, через которую люди могут менять свои пароли, которая затем берет пароль в открытом виде, пока он у него есть, и добавляет его в новую систему
  3. Регулярный взлом хеш-файла паролей AD с последующим их повторным шифрованием в новой системе

В конце концов, фильтр паролей оказался наиболее надежным и безопасным решением, и его было не так сложно реализовать, как я первоначально думал.