Миграция от каталога Active до OpenLDAP
Вот мой фаворит.
Это делает пошаговую демонстрацию большего количества материала, чем просто Apache, поэтому привередливо выберите то, что Вы думаете, что Вам нужно. БОЛЬШАЯ установка для веб-хостинга. Я протестировал это учебное руководство с предыдущими версиями, и они работают отлично.
Поиск Google: идеальный сервер человечности
Мой первый ответ был бы, не делают...
То, что я думаю, что Вы на самом деле спрашиваете: Как я портирую от Microsoft AD Domain до установки Samba/OpenLDAP/Kerberos. Это - Samba, который на самом деле обрабатывает сторону аутентификации/авторизации вещей - OpenLDAP является просто каталогом.
Samba едва делает групповые политики - необходимо использовать редактора NTPOL со дней Windows NT4 - он только имеет 70-80% функциональности XP локальная групповая политика (прежде чем некоторый мудрый парень заговорит о Samba 4 - он еще не отсутствует, однажды возможно). Можно применить политику Samba только к группам пользователей не компьютерные группы - список продолжается.
Нет никаких легких мастеров миграции, в значительной степени каждое учебное руководство по Samba делает это с нуля, который является тем, что можно закончить тем, что делали. И в конце Вы закончите с установкой, которая не так хороша как прежде - я предлагаю, чтобы Вы думали долго и трудно о том, является ли это правильным поступком (и да я действительно поддерживаю домен Samba и желаю каждый день, что у меня был Windows один).
-
1Должны согласиться с этим. Существует несколько вещей, что я думаю, прибывают в соответствии с заголовком, "Если необходимо спросить, как, затем Вы, вероятно, не были должны", и это - один из них. – Rob Moir 7 July 2010 в 10:37
-
2На самом деле Kerberos обрабатывает аутентификацию в том трио. Samba обеспечивает совместный доступ к файлам, политику и интерфейс SMB к функциям бэкенда. Можно использовать LDAP/Kerberos непосредственно, не проходя Samba. PADL действительно имеет некоторые сценарии миграции, которые могли бы быть полезными. – Borealid 7 July 2010 в 11:10
-
3@Borealid - Kerberos не должен делать аутентификации, это является дополнительным. клиент – Jon Rhoades 7 July 2010 в 11:18
- OpenLDAP может работать на Windows, да. Я действительно не рекомендовал бы это; при выполнении Windows Server ОС, Вы получите лучшую интеграцию с AD.
- Я не думаю, политики OpenLDAP и политики Active Directory совершенно совместимы. По крайней мере OpenLDAP имеет каталог "конфигурации" не подарок на AD и AD направления сервера дескрипторов по-другому. Эти две реализации также поддерживают различные расширения (например, до самого последнего времени, расширение WHOAMI не поддерживалось на AD). Необходимо будет, вероятно, вернуться к программному документу и создать новый ACLs для OpenLDAP.
- При использовании строгого осуществления схемы которое Вы должны, необходимо будет найти право objectclasses для AD данных. Если Вы просто перемещаете пользователей, ничто больше, могло бы быть легче вывести/импортировать их, чем скопировать целое дерево LDAP. Не упустите соление/хеш-алгоритмы пароля.
Если Вы используете AD аутентификацию, Вашим фактическим автором является Kerberos, не LDAP. Пользовательские принципалы хранятся в LDAP, да, но подлинным шагом является Kerberos. Один только OpenLDAP не даст Вам четность функции (Единая точка входа) с AD. Необходимо будет соединить его с сервером Kerberos, таким как Хеймдаль или MIT Kerberos, для этого.
Это не простой или легкий процесс. Для организации любого размера это - что-то, что должно быть сделано MCSE с твердым дескриптором на архитектуре программного обеспечения предприятия и некотором опыте с операционными системами UNIXish.
-
1Спасибо Borealid. Прямо сейчас я должен создать POC того же. Ожидаемое пользовательское количество могло бы дойти до 300 с более поздней составляемой расширяемостью. На данный момент я должен воздержаться от части сертификата MCSE, поскольку нет ни одного в поле зрения. Я посмотрел на JSSO для части единой точки входа, все же. (Я плохо знаком с SSO также.) – 7 July 2010 в 12:10