Смешанный домен: как установить направление пароля
Я работаю со смесью Linux и серверов окон и надеюсь использовать AD для соединений к централизованному процессу аутентификации LDAP.
Я недавно установил сервер Windows 2012 R2 как контроллер домена. Я имею информацию LDAP для доступа к серверу нашей компании LDAP, но еще не узнал, как установить ссылаемый процесс пароля. Люди предложили использовать OpenDJ или OpenLDAP вместо этого, но я полагал, что, по крайней мере, попытаюсь использовать исходные приложения для получения этих настроек. После многих часов чтения и наведения справки я думаю, что это не собирается работать.
Предложения о том, как возобновить это?
Сводка: у Меня есть некоторое оборудование в subdom.company.com. Существует сервер LDAP по ldap.company.com, который доступен для аутентификации, если я могу только добраться, мой домен, соединенный/, указал на него. Я должен продолжить Windows 2012 R2 или переключиться на Samba? Некоторая другая авеню?
ОБНОВЛЕНИЕ: До недавнего времени нашим оборудованием был почти полностью CentOS/Debian. Мы использовали NIS для поддержания учетных записей, и все было хорошо. Теперь мы добавляем больше клиентов окон и имеем возможность получить всю нашу аутентификацию, обработанную серверами более крупной компании. IE больше никакой потребности настроить их на каждом файловом сервере (через самбу) для клиентов окон.
Мне немного непонятно, что вы имеете в виду под "перенаправлением пароля". Я думаю вы говорите, что хотите, чтобы Active Directory аутентифицировала пользователей в LDAP директории, расположенной на вашем сервере "ldap.company.com".
Предположим, что это так: В Active Directory нет функциональности, чтобы делать то, что вы ищете. Active Directory - это (помимо всего прочего) центр распределения ключей Kerberos Key Distribution Center (KDC), поддерживаемый LDAP-доступной директорией. Она функционально похожа на вашу существующую LDAP директорию. Он не имеет функциональности для "прокси" аутентификации в другую LDAP директорию.
Вы можете создавать доверительные отношения с другими областями Kerberos. Если у вас есть другая реализация Kerberos, которая отправляет обратно в вашу существующую LDAP директорию, вы можете создать доверительные отношения между вашей новой Active Directory и областью. Это позволило бы директорам безопасности из области Kerberos получить доступ к ресурсам в лесу/домену Active Directory.
Как я уже говорил, это немного неясно, что вы пытаетесь сделать. Возможно, вам лучше просто использовать Samba для внутренней аутентификации на ваших LDAP серверах, если вы не хотите / нуждаетесь во всей функциональности, которую дублирует Active Directory. (Если вы предоставите больше информации о том, что вы пытаетесь сделать, я могу расширить этот ответ)
Редактирование:
Основываясь на вашем редактировании, я могу сказать вам, что Active Directory не будет делать то, что вы ищете. Вы не можете выгрузить аутентификацию из AD в другую LDAP директорию. Это просто не будет сделано.
Если бы я был в вашей ситуации, я бы, вероятно, создал бэк-ендинг области Kerberos в вашей LDAP директории, присоединил бы клиентов Windows к новому домену Active Directory, создал бы доверие области между доменом Active Directory и областью Kerberos, и, наконец, настроил клиентов Windows на разрешение SSO с учетными записями Kerberos.