Аутентифікація LDAP: Windows Server2k3 проти 2k8

9

У нас є близько 70% користувачів Linux, які налаштовані на автентифікацію проти Active Directory через LDAP. Для того, щоб це працювало, ми використовували "Служби Windows для Unix" під Windows Server 2003, і ​​все це працює чудово.

Зараз ми перебуваємо в точці, коли сервер, на якому працює ця контрацепція, втомлюється і буде замінений новою машиною під керуванням Windows Server 2008 (де відповідні сервіси, такі як відображення імен користувачів та зміна пароля тощо, інтегруються в ОС).

І ось руб: Якщо новий користувач налаштований через сервер Win2k3, то це все добре працює. Якщо те ж саме робиться через сервер Win2k8, то:

  1. Плагін ADS на сервері 2k3 не розпізнає його і поводиться так, ніби атрибути UNIX ніколи не були встановлені.
  2. Користувач не може автентифікувати проти ADS за допомогою LDAP.

Хтось стикався з цією проблемою? Якщо так, то як ви це подолали?

Якщо вам потрібна додаткова інформація для подальшої допомоги, просто запитайте, і я надам її.

windows-server-2008  active-directory  ldap 
wolfgangsz
джерело

Відповіді:

3

Відображення LDAP назв змінилося між Win2K3 та 2K8. Нове відображення (застосувати в /etc/ldap.conf):

nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber uidNumber
nss_map_attribute gidNumber gidNumber
nss_map_attribute cn sAMAccountName
nss_map_attribute uniqueMember member
nss_map_attribute userPassword msSFUPassword
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute loginShell loginShell
nss_map_attribute gecos cn
nss_map_objectclass posixGroup Group
nss_map_attribute shadowLastChange pwdLastSet

Будь ласка, дайте мені знати, якщо це допомагає. Можливо, вам доведеться мігрувати і старих користувачів - я б скористався ldapsearch і порівнював нових і старих користувачів (але я думаю, у них просто будуть обидва атрибути, якщо я пригадую)

Глен М
джерело
Дякую за пораду, я перевірю це. Міграція не є великою проблемою, тому що у нас все це упаковано в локальний пакет debian, який ми можемо просто оновити та повідомити всім користувачам, що вони повинні просто оновити свої машини.
wolfgangsz
Ну, насправді це дещо інше (принаймні, в нашому середовищі: uid, uidNumber, gidNumber та cn зовсім не потрібне відображення (імена однакові), uniqueMember -> до msSFUPosixMember, userPassword -> msSFU30Password та кілька інших змін. Поставте, я приймаю відповідь, щоб вказати мене в правильному напрямку.
wolfgangsz
1

Тут я вирішив опублікувати ще одну відповідь, оскільки зазвичай це місце, де люди знаходять інформацію, яку шукають.

Незважаючи на те, що вищезазначене все ще дуже справедливо і правдиво, я зараз знайшов набагато простіше спосіб підключення своїх клієнтів через AD. Debian стиснення (останній стабільний випуск) містить sssd (пакет, що бере свій початок у середовищі redhat / fedora), що робить все це повним вітерцем. Після встановлення він знаходить і пропонує контролери домену, і мені потрібно було лише змінити небагато речей у конфігураційному файлі, щоб він працював на мене. Він прекрасно працює з Windows Server 2008, а також може кешувати паролі (важливо для користувачів ноутбуків).

wolfgangsz
джерело
wolfgangsz, чи можу я зв’язатися з вами, щоб отримати більш детальну інформацію про sssd? як?
pcharlesleddy
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.