web-dev-qa-db-ja.com

LDAP認証:WindowsServer2k3と2k8

Linuxユーザーの約70%がいて、そのすべてがLDAPを介してActiveDirectoryに対して認証するように構成されています。これを機能させるために、Windows Server2003で「WindowsServicesfor Unix」を使用しましたが、すべて正常に機能します。

現在、この矛盾を実行しているサーバーは少し疲れており、Windows Server 2008を実行している新しいマシンに置き換えられます(ユーザー名のマッピングやパスワードの変更などの関連サービスは、 OS)。

そして、ここにこすりがあります:新しいユーザーがWin2k3サーバーを介して構成されている場合、それはすべて正常に機能します。同じことがWin2k8サーバーを介して行われる場合、次のようになります。

  1. 2k3サーバー上のADSプラグインはそれを認識せず、UNIX属性が設定されていないかのように動作します。
  2. ユーザーは、LDAPを使用してADSに対して認証できません。

誰かがこの問題に遭遇しましたか?もしそうなら、どのようにしてこれを克服しましたか?

さらにヘルプを提供するために追加情報が必要な場合は、質問してください。提供します。

9
wolfgangsz

LDAP名のマッピングがWin2K3と2K8の間で変更されました。新しいマッピング(/etc/ldap.confに適用する)は次のとおりです。

nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber uidNumber
nss_map_attribute gidNumber gidNumber
nss_map_attribute cn sAMAccountName
nss_map_attribute uniqueMember member
nss_map_attribute userPassword msSFUPassword
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute loginShell loginShell
nss_map_attribute gecos cn
nss_map_objectclass posixGroup Group
nss_map_attribute shadowLastChange pwdLastSet

それが役に立ったら教えてください。古いユーザーも移行する必要があるかもしれません-私はldapsearchを使用して、新しいユーザーと古いユーザーを比較します(ただし、思い出すと、両方の属性を持つだけだと思います)

3
Glen M

ここに別の回答を投稿することにしました。これは通常、人々が探している情報を見つける場所だからです。

上記はすべてまだ非常に有効で真実ですが、ADを介してクライアントを接続するためのはるかに簡単な方法を見つけました。 Debian squeeze(最新の安定版リリース)にはsssd(redhat/Fedora環境で作成されたパッケージ)が含まれているため、これらすべてが簡単に行えます。インストール時に、ドメインコントローラーが検出されて提案されます。構成ファイルを変更するだけで、機能するようになります。 Windows Server 2008で完全に正常に動作し、パスワードをキャッシュすることもできます(ラップトップユーザーにとって重要)。

1
wolfgangsz