ActiveDirectoryからOpenLDAPへの移行

私の最初の答えはしないでください...

あなたが実際に求めていると思うのは、MicrosoftADドメインからSamba/OpenLDAP/Kerberosセットアップに移植するにはどうすればよいですか。実際に認証/承認の側面を処理するのはSambaです-OpenLDAPは単なるディレクトリです。

Sambaはグループポリシーをほとんど実行しません-WindowsNT4の日からNTPOLエディターを使用する必要があります-それはXPローカルグループポリシーの機能の70-80％しか持っていません（賢い人がパイプを張る前に） Samba 4-まだリリースされていない、おそらくいつか）Sambaポリシーは、コンピューターグループではなくユーザーグループにのみ適用できます-リストは続きます。

簡単な移行ウィザードはありません。ほとんどすべてのSambaチュートリアルが最初からそれを実行します。これは、最終的に実行する可能性のあることです。そして最終的には、以前ほど良くないセットアップになってしまうでしょう-それが正しいことであるかどうかについて、長く真剣に考えることをお勧めします（そして、はい、私はSambaドメインをサポートしています、そして毎日私が望むWindowsのものを持っていた）。

1. はい、OpenLDAPはWindowsで実行できます。私はそれを本当にお勧めしません。 WindowsサーバーOSを実行している場合は、ADとの統合が向上します。
2. OpenLDAPポリシーとActiveDirectoryポリシーは完全に互換性があるとは思いません。少なくとも、OpenLDAPにはADに存在しない「config」ディレクトリがあり、ADはサーバー参照を異なる方法で処理します。 2つの実装は、異なる拡張機能もサポートします（たとえば、ごく最近まで、WHOAMI拡張機能はADでサポートされていませんでした）。おそらく、ポリシードキュメントに戻って、OpenLDAP用の新しいACLを作成する必要があります。
3. 厳密なスキーマ強制を使用する場合は、ADデータに適したオブジェクトクラスを見つける必要があります。ユーザーを移行するだけの場合は、LDAPツリー全体をコピーするよりもユーザーをダンプ/インポートする方が簡単な場合があります。パスワードソルティング/ハッシュアルゴリズムに注意してください。

AD認証を使用している場合、実際の認証はLDAPではなくKerberosです。ユーザープリンシパルはLDAPではstoredですが、認証ステップはKerberosです。 OpenLDAPだけでは、ADと同等の機能（シングルサインオン）は得られません。そのためには、HeimdalやMIT KerberosなどのKerberosサーバーとペアリングする必要があります。

これは単純または簡単なプロセスではありません。あらゆる規模の組織にとって、これは、エンタープライズソフトウェアアーキテクチャをしっかりと扱い、UNIX風のオペレーティングシステムの経験があるMCSEが行う必要があることです。