LDAP kimlik doğrulaması: Windows Server2k3 ve 2k8

9

LDAP aracılığıyla Active Directory'ye karşı kimlik doğrulaması yapacak şekilde yapılandırılmış yaklaşık% 70 linux kullanıcısı var. Bunun çalışması için, Windows Server 2003 altında "Unix için Windows Hizmetleri" ni kullandık ve her şey yolunda gidiyor.

Şimdi bu mekanizmayı çalıştıran sunucunun biraz yorulduğu ve Windows Server 2008 çalıştıran (kullanıcı adı eşleme ve şifre değişiklikleri vb. Gibi ilgili hizmetlerin entegre edildiği daha yeni bir makine ile değiştirileceğimiz bir noktadayız) işletim sistemi).

Ve işte sürtünme: Win2k3 sunucusu üzerinden yeni bir kullanıcı yapılandırılırsa, o zaman hepsi iyi çalışır. Aynı şey Win2k8 sunucusu üzerinden yapılırsa, o zaman:

  1. 2k3 sunucusundaki ADS eklentisi onu tanımıyor ve UNIX öznitelikleri hiç ayarlanmamış gibi davranıyor.
  2. Kullanıcı LDAP kullanarak ADS'ye karşı kimlik doğrulaması yapamaz.

Bu sorunla karşılaşan var mı? Eğer öyleyse, bunun üstesinden nasıl geldin?

Daha fazla yardım sağlamak için herhangi bir ek bilgiye ihtiyacınız varsa, sormanız yeterlidir.

windows-server-2008  active-directory  ldap 
wolfgangsz
kaynak

Yanıtlar:

3

LDAP ad eşlemesi Win2K3 ve 2K8 arasında değişti. Yeni eşleme (/etc/ldap.conf içinde uygulamak için):

nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber uidNumber
nss_map_attribute gidNumber gidNumber
nss_map_attribute cn sAMAccountName
nss_map_attribute uniqueMember member
nss_map_attribute userPassword msSFUPassword
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute loginShell loginShell
nss_map_attribute gecos cn
nss_map_objectclass posixGroup Group
nss_map_attribute shadowLastChange pwdLastSet

Bunun yardımcı olup olmadığını lütfen bize bildirin. Eski kullanıcıları da taşımanız gerekebilir - ldapsearch'ü kullanır ve yeni ve eski kullanıcıları karşılaştırırdım (ancak hatırlıyorum, her iki özelliğine de sahip olacaklarını düşünüyorum)

Glen M
kaynak
Tavsiye için teşekkürler, kontrol edeceğim. Geçiş büyük bir sorun değil, çünkü tüm bunları yerel bir debian paketine paketledik, ki bu sadece yükseltme yapabilir ve tüm kullanıcılara makinelerini basitçe güncellemeleri gerektiğini bildirebiliriz.
wolfgangsz
Aslında, aslında biraz farklı (en azından çevremizde: uid, uidNumber, gidNumber ve cn, eşlemeye gerek yok (isimler aynı), uniqueMember -> ile msSFUPosixMember, userPassword -> msSFU30Password ve diğer birkaç değişiklik. Beni doğru yöne işaret etmenin cevabını kabul ediyorum
wolfgangsz
1

Buraya başka bir cevap göndermeye karar verdim, çünkü burası genellikle insanların aradıkları bilgileri buldukları yer.

Yukarıdakilerin hepsi hala çok geçerli ve doğru olsa da, şimdi müşterilerimi AD aracılığıyla bağlamak için çok, çok daha kolay bir yol buldum. Debian sıkma (en son kararlı sürüm) sssd'yi (redhat / fedora ortamından kaynaklanan bir paket) içerir, bu da tüm bunları tam bir esinti yapar. Yüklemede etki alanı denetleyicilerini bulur ve önerir ve yapılandırma dosyasındaki çok az şeyi değiştirmem gerekiyordu. Windows Server 2008 ile mükemmel çalışır ve şifreleri de önbelleğe alabilir (dizüstü bilgisayar kullanıcıları için önemlidir).

wolfgangsz
kaynak
wolfgangsz, sssd hakkında daha fazla bilgi almak için sizinle iletişime geçebilir miyim? Nasıl?
pcharlesleddy
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.