Autenticazione LDAP: Windows Server2k3 vs. 2k8

9

Abbiamo circa il 70% di utenti Linux, tutti configurati per l'autenticazione con Active Directory tramite LDAP. Affinché ciò funzioni, abbiamo utilizzato i "Servizi Windows per Unix" in Windows Server 2003 e tutto funziona perfettamente.

Siamo ora a un punto in cui il server che esegue questo aggeggio si sta un po 'stancando e verrà sostituito con una macchina più recente, con Windows Server 2008 (in cui i servizi pertinenti come la mappatura dei nomi utente e le modifiche della password, ecc., Sono integrati con il sistema operativo).

Ed ecco il problema: se un nuovo utente è configurato tramite il server Win2k3, allora tutto funziona bene. Se la stessa cosa viene eseguita tramite il server Win2k8, quindi:

  1. Il plug-in ADS sul server 2k3 non lo riconosce e si comporta come se gli attributi UNIX non fossero mai stati impostati.
  2. L'utente non può eseguire l'autenticazione con ADS mediante LDAP.

Qualcuno ha riscontrato questo problema? Se è così, come hai superato questo?

Se hai bisogno di ulteriori informazioni per fornire ulteriore aiuto, chiedi e ti fornirò.

windows-server-2008  active-directory  ldap 
wolfgangsz
fonte

Risposte:

3

La mappatura dei nomi LDAP è stata modificata tra Win2K3 e 2K8. La nuova mappatura (da applicare in /etc/ldap.conf) è:

nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber uidNumber
nss_map_attribute gidNumber gidNumber
nss_map_attribute cn sAMAccountName
nss_map_attribute uniqueMember member
nss_map_attribute userPassword msSFUPassword
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute loginShell loginShell
nss_map_attribute gecos cn
nss_map_objectclass posixGroup Group
nss_map_attribute shadowLastChange pwdLastSet

Per favore fatemi sapere se questo aiuta. Potrebbe essere necessario migrare anche i vecchi utenti-- Userei ldapsearch e confronterò i nuovi e vecchi utenti (ma penso che avranno solo entrambi gli attributi, se ricordo)

Glen M
fonte
Grazie per il consiglio, lo controllerò. La migrazione non è un grosso problema, perché abbiamo tutto questo impacchettato in un pacchetto debian locale, che possiamo semplicemente aggiornare e far sapere a tutti gli utenti che dovrebbero semplicemente aggiornare i loro computer.
Wolfgangsz,
Bene, in realtà è leggermente diverso (almeno nel nostro ambiente: uid, uidNumber, gidNumber e cn non necessitano affatto di mappatura (i nomi sono identici), uniqueMember -> a msSFUPosixMember, userPassword -> msSFU30Password e alcune altre modifiche. Metti che accetto la risposta per indicarmi la giusta direzione.
Wolfgangsz,
1

Ho deciso di pubblicare un'altra risposta qui, poiché di solito è il luogo in cui le persone trovano le informazioni che stanno cercando.

Mentre quanto sopra è ancora molto valido e vero, ora ho trovato un modo molto, molto più semplice per connettere i miei clienti tramite AD. Debian squeeze (l'ultima versione stabile) contiene sssd (un pacchetto che ha origine nell'ambiente redhat / fedora), il che rende tutto questo un gioco da ragazzi. Al momento dell'installazione trova e suggerisce i controller di dominio, e ho solo bisogno di cambiare pochissime cose nel file di configurazione per farlo funzionare per me. Funziona perfettamente con Windows Server 2008 e può anche memorizzare nella cache le password (importante per gli utenti di laptop).

wolfgangsz
fonte
wolfgangsz, posso contattarti per avere maggiori informazioni su sssd? Come?
pcharlesleddy,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.