Xác thực LDAP: Windows Server2k3 so với 2k8

9

Chúng tôi có khoảng 70% người dùng linux, tất cả đều được cấu hình để xác thực với Active Directory thông qua LDAP. Để làm việc này, chúng tôi đã sử dụng "Dịch vụ Windows cho Unix" trong Windows Server 2003 và tất cả đều hoạt động tốt.

Bây giờ chúng ta đang ở thời điểm mà máy chủ chạy phần mềm này đang hơi mệt và sẽ được thay thế bằng một máy mới hơn, chạy Windows Server 2008 (nơi các dịch vụ có liên quan như ánh xạ tên người dùng và thay đổi mật khẩu, v.v., được tích hợp với HĐH).

Và đây là vấn đề: Nếu một người dùng mới được cấu hình thông qua máy chủ Win2k3, thì tất cả đều hoạt động tốt. Nếu điều tương tự được thực hiện thông qua máy chủ Win2k8, thì:

  1. Plugin ADS trên máy chủ 2k3 không nhận ra nó và hoạt động như thể các thuộc tính UNIX không bao giờ được đặt.
  2. Người dùng không thể xác thực với ADS bằng LDAP.

Có ai gặp phải vấn đề này? Nếu vậy, làm thế nào bạn vượt qua điều này?

Nếu bạn cần thêm thông tin để cung cấp thêm trợ giúp, chỉ cần hỏi và tôi sẽ cung cấp.

windows-server-2008  active-directory  ldap 
sóigangsz
nguồn

Câu trả lời:

3

Ánh xạ tên LDAP đã thay đổi giữa Win2K3 và 2K8. Ánh xạ mới (để áp dụng trong /etc/ldap.conf) là:

nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber uidNumber
nss_map_attribute gidNumber gidNumber
nss_map_attribute cn sAMAccountName
nss_map_attribute uniqueMember member
nss_map_attribute userPassword msSFUPassword
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute loginShell loginShell
nss_map_attribute gecos cn
nss_map_objectclass posixGroup Group
nss_map_attribute shadowLastChange pwdLastSet

Xin vui lòng cho tôi biết nếu điều đó giúp. Bạn cũng có thể phải di chuyển người dùng cũ-- Tôi sẽ sử dụng ldapsearch và so sánh người dùng mới và người dùng cũ (nhưng tôi nghĩ họ sẽ chỉ có cả hai thuộc tính, nếu tôi nhớ lại)

Glen M
nguồn
Cảm ơn lời khuyên, tôi sẽ kiểm tra nó. Di chuyển không phải là một vấn đề lớn, bởi vì chúng tôi có tất cả các gói này vào gói debian cục bộ, chúng tôi chỉ có thể nâng cấp và cho tất cả người dùng biết rằng họ chỉ nên cập nhật máy của mình.
wolfgangsz
Chà, nó thực sự hơi khác một chút (ít nhất là trong môi trường của chúng tôi: uid, uidNumber, gidNumber và cn không cần ánh xạ ở tất cả (tên giống hệt nhau), uniqueMember -> thành msSFUPosixMember, userPassword -> msSFU30Password và một vài thay đổi khác. Đặt tôi chấp nhận câu trả lời vì đã chỉ cho tôi đi đúng hướng.
wolfgangsz
1

Tôi đã quyết định đăng một câu trả lời khác ở đây, vì đây thường là nơi mọi người tìm thấy thông tin họ đang tìm kiếm.

Mặc dù những điều trên vẫn rất hợp lệ và đúng, giờ đây tôi đã tìm thấy một cách dễ dàng hơn nhiều để kết nối khách hàng của mình thông qua AD. Debian bóp (bản phát hành ổn định mới nhất) chứa sssd (một gói có nguồn gốc trong môi trường redhat / fedora), làm cho tất cả điều này trở nên dễ dàng. Khi cài đặt, nó tìm và gợi ý các bộ điều khiển miền và tôi chỉ cần thay đổi rất ít thứ trong tệp cấu hình để làm cho nó hoạt động. Nó hoạt động hoàn toàn tốt với Windows Server 2008 và nó cũng có thể lưu mật khẩu (rất quan trọng đối với người dùng máy tính xách tay).

sóigangsz
nguồn
wolfgangsz, tôi có thể liên lạc với bạn để có thêm thông tin về sssd không? làm sao?
pcharlesleddy
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.