Как бы вы перешли с Windows AD на сервер Linux LDAP?


9

В настоящее время я использую сервер Windows с Active Directory. Но так как мы больше не используем Exchange 2007, он стал модным файловым сервером с аутентификацией.

Я хотел бы перенести AD на сервер Linux. Каков был бы лучший способ сделать это? И какой сервер LDAP я должен использовать?

Обновление не будет никаких клиентов Windows. Они будут обновлены до Edubuntu.


Samba пытается сделать так, чтобы сервер мог быть сервером AD ... Хотя я не знаю статус этого проекта ... также OpenLDAP.
ксенотеррацид

Ответы:


4

Samba v.3 может быть контроллером домена в стиле NT4. Если у вас был сервер AD, работающий на Exchange, этого недостаточно.

Samba v.4 будет иметь возможность быть контроллером домена в стиле Windows 2003, но еще не сделано. Не далеко.

Следующий вопрос: у вас остались клиенты Windows? Если так, у вас есть проблема. Windows не так подключаема, как Linux. В то время как можно изменить определенный файл DLL (я забыл имя) для аутентификации на обычном KDC, Windows была создана для работы с AD и только с AD. Все остальное требует изменения системной библиотеки Windows. Это отстой.

Если у вас не осталось клиентов Windows, это станет намного проще. Вы можете легко заменить Windows AD комбинированным решением Kerberos / LDAP. Пакеты Kerberos kdc (Key Distribution Center) находятся во всех дистрибутивах. Серверы LDAP доступны в разных формах. Сервер OpenLDAP находится в большинстве дистрибутивов. Инструмент управления на основе графического интерфейса для вашего каталога LDAP доступен от многих LDAP-серверов с открытым исходным кодом, таких как 389, и я думаю, что Apache DS тоже.

Я упоминал проект FreeIPA в этом контексте в другом потоке как интегрированное решение, но это только для Linux.

Короче говоря, у вас все еще есть клиенты Windows в вашей сети?

Изменить: видимо нет. Итак, создайте себе KDC, возьмите копию 389 DS, и все готово. Затем вам нужно будет выполнить некоторые сценарии LDAP, чтобы получить информацию о пользователе с контроллера домена и вставить ее на свой сервер LDAP. Я не думаю, что вы можете перенести пароли пользователей, хотя, вероятно, вам придется их сбросить.


они будут удалены до или во время миграции
Gert

0

Так как вы перейдете с инфраструктуры на основе Windows на инфраструктуру на основе Linux. Я думаю, что в дополнение к настройке новых серверов LDAP вам нужно будет перенести информацию учетной записи пользователя. Если это ваш случай, возможно, вы могли бы использовать инструмент LDIFDE с Windows AD Server для экспорта необходимой информации. После этого вы импортируете эту информацию в новый каталог.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.