Интеграция с Active Directory LDAP
Я думаю лучшее, которое можно сделать, вот некоторое основное укрепление сервера, который Вы имеете, пока Вы не можете настроить замену. Отключите любые сетевые доступные сервисы, которые не требуются для Вашего приложения, предполагая, что Вы используете апача, отключают модули, которые Вы не используете и возможно проходите документ как Руководство по обеспечению безопасности СНГ. Вы говорите, что это - веб-сайт корзины, который, вероятно, подразумевает, что apache/mod_ssl являются единственными сетевыми доступными сервисами (и ssh, но это может быть ограничено, чтобы только быть позволенным от где бы вы ни были выполнения управления). Я смотрел бы на безопасность vulns опубликованный для апача и openssl со времени, которое они обновились, сорняк через тех, которые не обращаются к Вашей конфигурации и пытаются смягчить тех, которые делают. Это просто оставляет Ваше программное обеспечение корзины как источник проблем, идеально его зависимостями не будет ужасно ОС, конкретная, таким образом, Вы сможете обновлять его независимо от перемещения всего этого к более приемлемой ОС.
Ни одно из этого не гарантия, что Вы не будете вытолканы, или что Вы уже не испытали затруднения, о которых Вы просто еще не знаете, но, вероятно, лучше, чтобы можно было сделать с инструментами, которые Вы имеете.
Вы не можете использовать старый сервер LDAP в качестве источника для аутентификации для машин Windows. Active Directory является больше, чем просто сервер LDAP.
Принятие Вас не возражает не иметь Групповой политики, к которой я полагал бы, что создание домена Samba с LDAP-поддержанной аутентификацией присоединяется к Вашим машинам Windows. Это почти настолько близко, как можно добраться до среды Active Directory с текущими Основанными на Unix инструментами. Samba в конечном счете сможет эмулировать домен Active Directory, но это еще не там.
Если Вы надеетесь использовать свой существующий LDAP в качестве Вашего основного (единственного) каталога и канавы AD, то ответ Evan Anderson является пятном на.
Если Вы готовы угробить свой существующий LDAP и основывать все из Active Directory, то это должно быть возможно. Что-либо, что в настоящее время проходит проверку подлинности против Вашего неAD ldap, должно смочь пройти проверку подлинности против AD благодаря интерфейсу ldap, который выставляет AD. Конечно, при использовании LDAP для других вещей (не только аутентификация) затем, можно столкнуться с проблемами, если Вы не можете заставить AD поддерживать те функции также (путем применения необходимых схем, и т.д.)
Что касается adLDAP, я никогда не использовал его, но беглый взгляд на ссылку, которую Вы предоставили, похож, это - просто клиентская библиотека для того, чтобы говорить с AD. С точки зрения консолидации к одному каталогу я не думаю, что это помогает Вам.
Однако это могло потенциально сделать разделяющие каталоги легче. Например, если Вы могли бы изменить свое программное обеспечение управления пользователями LDAP для совершения вызовов бэкенда к AD (через adLDAP), затем Вы могли сделать его так, чтобы добавление пользователя к LDAP автоматически добавило пользователя к AD и т.д.
Я полагаю, что вы можете использовать Samba, kerberos и LDAP для аутентификации оконных машин через AD. Не уверен, насколько это разумно.
Вы можете использовать инструменты ldap (например, ldapadd, ldapmodify, ldap delete) или библиотеки, например, PHP или модули LDAP perl для заполнения и поддержки записей в AD.
Так что нет причин, по которым вы не можете написать скрипт для пользовательского управления, который не обновляет одновременно и ваш LDAP, и AD каталоги.
.