Uwierzytelnianie LDAP: Windows Server 2k3 vs. 2k8

9

Mamy około 70% użytkowników Linuksa, z których wszyscy są skonfigurowani do uwierzytelniania w Active Directory przez LDAP. Aby to zadziałało, korzystaliśmy z „Windows Services for Unix” pod Windows Server 2003 i wszystko działa dobrze.

Jesteśmy teraz w punkcie, w którym serwer z tym urządzeniem staje się nieco zmęczony i zostanie zastąpiony nowszą maszyną z systemem Windows Server 2008 (gdzie odpowiednie usługi, takie jak mapowanie nazw użytkowników i zmiany haseł itp., Są zintegrowane z system operacyjny).

I oto rub: jeśli nowy użytkownik jest skonfigurowany za pośrednictwem serwera Win2k3, to wszystko działa dobrze. Jeśli to samo dzieje się za pośrednictwem serwera Win2k8, to:

  1. Wtyczka ADS na serwerze 2k3 nie rozpoznaje jej i zachowuje się tak, jakby nigdy nie ustawiono atrybutów UNIX.
  2. Użytkownik nie może uwierzytelnić się w stosunku do ADS przy użyciu LDAP.

Czy ktoś napotkał ten problem? Jeśli tak, jak sobie z tym poradziłeś?

Jeśli potrzebujesz dodatkowych informacji, aby udzielić dalszej pomocy, po prostu zapytaj, a ja ci udzielę.

wolfgangsz
źródło

Odpowiedzi:

3

Mapowanie nazw LDAP zmieniło się między Win2K3 a 2K8. Nowe mapowanie (do zastosowania w /etc/ldap.conf) to:

nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber uidNumber
nss_map_attribute gidNumber gidNumber
nss_map_attribute cn sAMAccountName
nss_map_attribute uniqueMember member
nss_map_attribute userPassword msSFUPassword
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute loginShell loginShell
nss_map_attribute gecos cn
nss_map_objectclass posixGroup Group
nss_map_attribute shadowLastChange pwdLastSet

Daj mi znać, jeśli to pomoże. Być może trzeba będzie również przeprowadzić migrację starych użytkowników - użyłbym ldapsearch i porównałbym nowych i starych użytkowników (ale myślę, że będą mieli oba atrybuty, jeśli pamiętam)

Glen M.
źródło
Dzięki za radę, sprawdzę to. Migracja nie stanowi dużego problemu, ponieważ mamy to wszystko spakowane w lokalnym pakiecie debian, który możemy po prostu zaktualizować i poinformować wszystkich użytkowników, że powinni po prostu zaktualizować swoje maszyny.
wolfgangsz
Cóż, w rzeczywistości jest nieco inny (przynajmniej w naszym środowisku: uid, uidNumber, gidNumber i cn wcale nie potrzebują mapowania (nazwy są identyczne), uniqueMember -> do msSFUPosixMember, userPassword -> msSFU30Password i kilka innych zmian. Stawiam, akceptuję odpowiedź za skierowanie mnie w dobrym kierunku
wolfgangsz
1

Postanowiłem opublikować tutaj inną odpowiedź, ponieważ zazwyczaj jest to miejsce, w którym ludzie znajdują informacje, których szukają.

Chociaż powyższe jest nadal bardzo aktualne i prawdziwe, znalazłem teraz o wiele łatwiejszy sposób na połączenie moich klientów za pośrednictwem AD. Debian squeeze (najnowsze stabilne wydanie) zawiera sssd (pakiet, który pochodzi ze środowiska redhat / fedora), co sprawia, że ​​wszystko jest kompletne. Po instalacji wyszukuje i sugeruje kontrolery domeny, a ja musiałem tylko zmienić kilka rzeczy w pliku konfiguracyjnym, aby działało to dla mnie. Działa idealnie z systemem Windows Server 2008, a także może buforować hasła (ważne dla użytkowników laptopów).

wolfgangsz
źródło
wolfgangsz, czy mogę się z tobą skontaktować, aby uzyskać więcej informacji na temat sssd? w jaki sposób?
pcharlesleddy,