web-dev-qa-db-ja.com

ActiveDirectoryからOpenLDAPへの移行

LDAPとADはかなり新しいです。現在の承認/認証構造をADからOpenLDAPに移植する必要があります。セットアップ全体をWindowsで実行することは可能ですか?ポリシーの移行と必要な調整の手順は何ですか?私はいくつかのチュートリアルを読んだので、入力に従うことができるはずです。よろしく、アンソニーG。

4
Anthony G

私の最初の答えはしないでください...

あなたが実際に求めていると思うのは、MicrosoftADドメインからSamba/OpenLDAP/Kerberosセットアップに移植するにはどうすればよいですか。実際に認証/承認の側面を処理するのはSambaです-OpenLDAPは単なるディレクトリです。

Sambaはグループポリシーをほとんど実行しません-WindowsNT4の日からNTPOLエディターを使用する必要があります-それはXPローカルグループポリシーの機能の70-80%しか持っていません(賢い人がパイプを張る前に) Samba 4-まだリリースされていない、おそらくいつか)Sambaポリシーは、コンピューターグループではなくユーザーグループにのみ適用できます-リストは続きます。

簡単な移行ウィザードはありません。ほとんどすべてのSambaチュートリアルが最初からそれを実行します。これは、最終的に実行する可能性のあることです。そして最終的には、以前ほど良くないセットアップになってしまうでしょう-それが正しいことであるかどうかについて、長く真剣に考えることをお勧めします(そして、はい、私はSambaドメインをサポートしています、そして毎日私が望むWindowsのものを持っていた)。

2
Jon Rhoades
  1. はい、OpenLDAPはWindowsで実行できます。私はそれを本当にお勧めしません。 WindowsサーバーOSを実行している場合は、ADとの統合が向上します。
  2. OpenLDAPポリシーとActiveDirectoryポリシーは完全に互換性があるとは思いません。少なくとも、OpenLDAPにはADに存在しない「config」ディレクトリがあり、ADはサーバー参照を異なる方法で処理します。 2つの実装は、異なる拡張機能もサポートします(たとえば、ごく最近まで、WHOAMI拡張機能はADでサポートされていませんでした)。おそらく、ポリシードキュメントに戻って、OpenLDAP用の新しいACLを作成する必要があります。
  3. 厳密なスキーマ強制を使用する場合は、ADデータに適したオブジェクトクラスを見つける必要があります。ユーザーを移行するだけの場合は、LDAPツリー全体をコピーするよりもユーザーをダンプ/インポートする方が簡単な場合があります。パスワードソルティング/ハッシュアルゴリズムに注意してください。

AD認証を使用している場合、実際の認証はLDAPではなくKerberosです。ユーザープリンシパルはLDAPではstoredですが、認証ステップはKerberosです。 OpenLDAPだけでは、ADと同等の機能(シングルサインオン)は得られません。そのためには、HeimdalやMIT KerberosなどのKerberosサーバーとペアリングする必要があります。

これは単純または簡単なプロセスではありません。あらゆる規模の組織にとって、これは、エンタープライズソフトウェアアーキテクチャをしっかりと扱い、UNIX風のオペレーティングシステムの経験があるMCSEが行う必要があることです。

1
Borealid