web-dev-qa-db-ja.com

WindowsADとLinuxLDAPサーバー間の統合認証

Windows ActiveDirectoryとLinuxサーバーでホストされているLDAPサーバーの間でユーザーアカウントの同期を実行できるソリューションを知っている人はいますか?私は現在、FreeIPA(www.freeIPA.org)と389DS( http://directory.fedoraproject.org )を見ています。

Linux LDAPサーバーが強化されたデータセンターに展開されているのに対し、ADサーバーは強化されていない(ジェネレーターバッキングがなく、インターネット接続が1つしかない)本社に展開されているため、アカウントの同期を実行しようとしています。データセンター内のすべてのマシンはLinuxベースであり、本社のマシンの90%はWindowsです。 389DSとFreeIPAにはユーザーの同期があることを理解していますが、パスワードを実行するために別のプログラムをインストールする必要があります。 LinuxのKerberosスレーブをLinuxLDAPサーバーに結合してパスワード認証を行い、Windowsサーバーから更新を受信して​​、追加のアプリケーションをインストールする必要がないようにする方法を誰かが知っているかどうか知りたいと思いました。 ADサーバーがダウンすると、Linuxホストは引き続きLinuxLDAPサーバーに対して認証できます。

ユーザーの約50%はWindowsベースのみであり、ユーザーの45%はWindowsとLinuxの両方を扱っており、最後の5%はAppleのみを使用しており、現在、ユーザーがすべてのシステムにログインするために1つのユーザー名とパスワードしか知らないようにするシステム。

3
user150502

Active Directoryには、単なるLDAPオブジェクトと属性の束以上のものがあります。一部の相互運用プロトコルは独自仕様であり、セキュリティに敏感な属性とAPIの多くはロックされており、どのような種類のフックによっても拡張できず、信頼できるコードによってのみ呼び出すことができます。別のGINAを使用してパスワードの更新を処理することは、パスワードの変更を書き込むセカンダリディレクトリがある場合、Windowsの世界で一般的に行われていること(tm)です。

NovellのeDirectory/NDSとSSO機能セットを調べることをお勧めします。これは、異種のLinux/Windows環境を念頭に置いて設計されています。

2
the-wabbit

これを本当に正しく実行したい場合は、データセンターにドメインコントローラーをデプロイし、Linuxシステムでそれに対して認証する必要があります(POSIX拡張機能をADに追加し、Unixアクセスが必要な各ADアカウントをPOSIXAccountに拡張します)。

ADを別の認証/承認ストアに従属させようとすることは非常に困難であり、失敗しがちです。対照的に、Unixシステムは通常、あまり労力をかけずにADに対して(プレーンなVanilla LDAPとして扱うことで)認証できます。


このルートを取ることには多くの利点があります。その中には、セカンダリADドメインコントローラー(データセンター、バッテリー/ UPS上)があり、単一の認証ストアが機能します。

3
voretaq7

Samba4がリリースされました。これは、「完全に」ActiveDirectoryと互換性のある最初のバージョンです。

まだ試してみる機会はありませんが、* nixネイティブand AD互換なので、今後は最良の方法かもしれません。

0
fukawi2