Otentikasi LDAP: Windows Server2k3 vs 2k8

9

Kami memiliki sekitar 70% pengguna linux, yang semuanya dikonfigurasi untuk otentikasi terhadap Active Directory melalui LDAP. Agar ini berfungsi, kami menggunakan "Layanan Windows untuk Unix" di bawah Windows Server 2003, dan semuanya berfungsi dengan baik.

Kita sekarang berada pada titik di mana server yang menjalankan alat ini menjadi sedikit lelah dan akan diganti dengan mesin yang lebih baru, menjalankan Windows Server 2008 (di mana layanan yang relevan seperti pemetaan nama pengguna dan perubahan kata sandi, dll., Terintegrasi dengan OS).

Dan inilah intinya: Jika pengguna baru dikonfigurasi melalui server Win2k3, maka semuanya berfungsi dengan baik. Jika hal yang sama dilakukan melalui server Win2k8, maka:

  1. Plugin ADS pada server 2k3 tidak mengenalinya dan berperilaku seolah-olah atribut UNIX tidak pernah disetel.
  2. Pengguna tidak dapat mengautentikasi terhadap ADS menggunakan LDAP.

Adakah yang mengalami masalah ini? Jika demikian, bagaimana Anda mengatasi ini?

Jika Anda memerlukan informasi tambahan untuk memberikan bantuan lebih lanjut, tanyakan saja dan saya akan memberikannya.

windows-server-2008 active-directory ldap wolfgangsz
sumber

Jawaban:

3

Pemetaan nama LDAP telah berubah antara Win2K3 dan 2K8. Pemetaan baru (untuk diterapkan di /etc/ldap.conf) adalah:

nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber uidNumber
nss_map_attribute gidNumber gidNumber
nss_map_attribute cn sAMAccountName
nss_map_attribute uniqueMember member
nss_map_attribute userPassword msSFUPassword
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute loginShell loginShell
nss_map_attribute gecos cn
nss_map_objectclass posixGroup Group
nss_map_attribute shadowLastChange pwdLastSet

Tolong beri tahu saya jika itu membantu. Anda mungkin harus memigrasikan pengguna lama juga - Saya akan menggunakan ldapsearch dan membandingkan pengguna baru dan lama (tapi saya pikir mereka hanya akan memiliki kedua atribut, jika saya ingat)

Glen M
sumber
Terima kasih atas sarannya, saya akan memeriksanya. Migrasi bukan masalah besar, karena kami memiliki semua ini dikemas dalam paket debian lokal, yang dapat kami tingkatkan dan beri tahu semua pengguna bahwa mereka harus memperbarui mesin mereka.
wolfgangsz
Yah, sebenarnya sedikit berbeda (setidaknya di lingkungan kita: uid, uidNumber, gidNumber dan cn tidak perlu pemetaan sama sekali (nama identik), uniqueMember -> ke msSFUPosixMember, userPassword -> msSFU30Password, dan beberapa perubahan lainnya. Masukkan saya menerima jawaban untuk mengarahkan saya ke arah yang benar
wolfgangsz
1

Saya telah memutuskan untuk mengirim jawaban lain di sini, karena ini biasanya tempat orang menemukan informasi yang mereka cari.

Meskipun semua di atas masih sangat valid dan benar, saya sekarang telah menemukan cara yang jauh lebih mudah untuk menghubungkan klien saya melalui AD. Debian squeeze (rilis stabil terbaru) berisi sssd (paket yang berasal dari lingkungan redhat / fedora), yang menjadikan semua ini sangat mudah. Setelah instalasi ia menemukan dan menyarankan pengontrol domain, dan saya hanya perlu mengubah sedikit hal dalam file konfigurasi untuk membuatnya berfungsi untuk saya. Ini berfungsi dengan baik dengan Windows Server 2008, dan juga dapat men-cache kata sandi (penting untuk pengguna laptop).

wolfgangsz
sumber
wolfgangsz, dapatkah saya menghubungi Anda untuk mendapatkan info lebih lanjut tentang sssd? bagaimana?
pcharlesleddy