Аутентификация LDAP: Windows Server2k3 против 2k8

9

У нас около 70% пользователей Linux, каждый из которых настроен для аутентификации в Active Directory через LDAP. Чтобы это работало, мы использовали «Службы Windows для Unix» под Windows Server 2003, и все работает нормально.

Сейчас мы находимся в состоянии, когда сервер, на котором работает это устройство, немного устает и будет заменен более новым компьютером, работающим под управлением Windows Server 2008 (где соответствующие службы, такие как сопоставление имен пользователей, изменение паролей и т. Д., Интегрированы с ОС).

И вот в чем проблема: если новый пользователь настроен через сервер Win2k3, то все работает нормально. Если то же самое делается через сервер Win2k8, то:

  1. Плагин ADS на сервере 2k3 не распознает его и ведет себя так, как будто атрибуты UNIX никогда не устанавливались.
  2. Пользователь не может пройти аутентификацию в ADS с использованием LDAP.

Кто-нибудь сталкивался с этой проблемой? Если да, то как ты это преодолел?

Если вам нужна дополнительная информация для оказания дополнительной помощи, просто спросите, и я предоставлю ее.

windows-server-2008 active-directory ldap wolfgangsz
источник

Ответы:

3

Отображение имени LDAP изменилось между Win2K3 и 2K8. Новое отображение (для применения в /etc/ldap.conf):

nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber uidNumber
nss_map_attribute gidNumber gidNumber
nss_map_attribute cn sAMAccountName
nss_map_attribute uniqueMember member
nss_map_attribute userPassword msSFUPassword
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute loginShell loginShell
nss_map_attribute gecos cn
nss_map_objectclass posixGroup Group
nss_map_attribute shadowLastChange pwdLastSet

Пожалуйста, дайте мне знать, если это поможет. Возможно, вам придется также перенести старых пользователей - я бы использовал ldapsearch и сравнил новых и старых пользователей (но я думаю, что у них просто будут оба атрибута, если я вспомню)

Глен М
источник
Спасибо за совет, проверю. Миграция не является большой проблемой, потому что все это упаковано в локальный пакет Debian, который мы можем просто обновить и сообщить всем пользователям, что они должны просто обновить свои машины.
wolfgangsz
Ну, на самом деле это немного отличается (по крайней мере, в нашей среде: uid, uidNumber, gidNumber и cn вообще не нуждаются в отображении (имена идентичны), uniqueMember -> в msSFUPosixMember, userPassword -> msSFU30Password и некоторые другие изменения. Поместите, я принимаю ответ для того, чтобы указать мне правильное направление
wolfgangsz
1

Я решил опубликовать еще один ответ здесь, так как это обычно место, где люди находят информацию, которую они ищут.

Хотя все вышесказанное все еще очень верно и верно, я нашел гораздо более простой способ подключения моих клиентов через AD. Debian squeeze (последний стабильный выпуск) содержит sssd (пакет, созданный в среде redhat / fedora), что делает все это полным бризом. После установки он находит и предлагает контроллеры домена, и мне нужно было всего лишь немного изменить конфигурационный файл, чтобы он работал для меня. Он отлично работает с Windows Server 2008, а также может кэшировать пароли (важно для пользователей ноутбуков).

wolfgangsz
источник
wolfgangsz, могу я связаться с вами, чтобы получить больше информации о sssd? как?
pcharlesleddy