Переход с Debian Active Directory на LDAP

Сейчас я работаю над миграцией LDAP и Active Directory. Я хочу перейти на LDAP, но не могу получить пароли из Active Directory. Я хочу просто перейти на LDAP, и мне нужно решение, подобное этому: я хочу, чтобы клиент подключился к LDAP, и если пользователь еще не зарегистрирован в LDAP, то я хочу, чтобы сервер LDAP перешел в Active Directory и запросил аутентификацию., После того как Active Directory выдаст значение true для аутентификации, я хочу, чтобы LDAP зарегистрировал его в базе данных в LDAP самостоятельно и запросил новый пароль в KDM.

С уважением

1 ответ

LDAP Active Directory не обеспечивает аутентификацию LDAP, но вместо этого аутентификацию kerberos. Если вы извлекаете учетные записи пользователей AD LDAP (например, с помощью ldapsearch), вы увидите, что поле Пароль оставлено пустым, потому что это не место для аутентификации.

OpenLDAP обеспечивает аутентификацию LDAP (которая в некоторый момент похожа на базовую аутентификацию apache: пароль в открытом виде (только в кодировке)). Обе аутентификации несовместимы (а аутентификация LDAP не обеспечивает единый вход, как это делает аутентификация Kerberos).

Что вам нужно сделать, это создать сервер Kerberos для аутентификации. Ваша база данных OpenLDAP может быть получена из AD. Вам понадобится доверие аутентификации между областями между Kerberos, которому доверяет AD (чтобы позволить пользователям проходить аутентификацию, даже если они еще не включены в Kerberos/OpenLDAP).

Вы, похоже, все равно недооцениваете трудности этой задачи. Завершение этого само по себе довольно сложно. Но тогда у вас будут несовместимости, если вам нужно управлять рабочими столами Windows.

Другие вопросы по тегам