POSIXアカウント拡張を使用してOpenLDAPでADグループの同期を維持する
次のことを達成するための最も明白な方法は何ですか。サイトには動作するADインフラストラクチャがあり、インフラストラクチャの特定の部分は密結合されたGNU/Linuxマシンであり、ADOUの人々がou=linux-users,dc=example,dc=comは、AD資格情報を使用してインフラストラクチャのLinux部分にログオンできる必要がありますが、LinuxマシンのPAMスタックでDCを使用しないでください。つまり、何らかの同期と拡張が必要です。 ADからslapdへのPOSIX属性(uid、gid、homedir、password)。LinuxマシンのslapdはOpenLDAPであり、ADのスキーマはPOSIX属性のないWindows2003のものです。
Ldap同期コネクタ(LSC) を使用して、ADからOpenLDAPサーバーへの継続的な同期を設定し、必要に応じて生成された属性を追加できます。
ただし、BINDリクエストをADサーバーに転送するようにOpenLDAPを設定しない限り、これではADの資格情報を直接使用できません...ただし、使用可能なADインフラストラクチャに依存します。
ADの資格情報に依存するのは困難です。他の場所で資格情報をクリアテキストで保持する必要があるか、バインドにADを使用するか、パスワード同期を設定する必要があるためです。チェックアウト Active Directoryパスワード同期オプション 。
このページに記載されていないオプションの1つは、ハッシュ化されたパスワードのリストをADサーバーからエクスポートすることですが、これは1回限りの操作であり、継続的な同期ではありません。
PAMスタックにADサーバーを含めたくない特別な理由はありますか?ここでの最善の解決策は、POSIX/RFC2307属性をADユーザーに追加し、ADサーバーでpam_ldap/nss_ldap(またはnss_ldapd)を指定することです。
ADに直接クエリを実行できないネットワークセキュリティ/負荷の懸念がある場合は、OpenLDAPのプロキシ/キャッシュ機能を使用するか、限定されたADスレーブを展開してLinuxホストにサービスを提供できます。
「拡張された」アカウントを持つことはお勧めしません。かなり汚いハックを介して行うことができますが、私の経験では、実稼働環境で信頼するには脆弱すぎます。また、「1つの信頼できるソース」パラダイムを破ります。ADが信頼できるアカウントストアである場合、POSIX属性をそこに追加して管理する必要があります。