Obecnie prowadzę serwer Windows z Active Directory. Ale ponieważ nie używamy już Exchange 2007, stał się fantazyjnym serwerem plików z uwierzytelnianiem.
Chciałbym przenieść AD na serwer Linux. Jaki byłby najlepszy sposób to zrobić? I którego serwera LDAP powinienem użyć?
Zaktualizuj, nie będzie już żadnych klientów Windows. Zostaną zaktualizowane do Edubuntu.
Odpowiedzi:
Samba v.3 może być kontrolerem domeny w stylu NT4. Jeśli miałeś serwer AD uruchomiony dla Exchange, to nie wystarczy.
Samba v.4 będzie mogła być kontrolerem domeny w stylu Windows 2003, ale jeszcze tego nie zrobiono. Zdecydowanie nie.
Następne pytanie brzmi: czy masz jeszcze klientów Windows? Jeśli tak, masz problem. Windows nie jest tak wtyczkowy jak Linux. Chociaż istnieje możliwość zmiany określonego pliku dll (zapomniałem nazwy) w celu uwierzytelnienia w stosunku do ogólnego KDC, system Windows został zbudowany do pracy z AD i tylko z AD. Wszystko inne wymaga zmiany bibliotek DLL systemu Windows. To jest do bani.
Jeśli nie masz już żadnych klientów Windows, staje się to o wiele łatwiejsze. Możesz łatwo zastąpić Windows AD połączonym rozwiązaniem Kerberos / LDAP. Pakiety Kerberos kdc (Key Distribution Center) znajdują się we wszystkich dystrybucjach. Serwery LDAP są dostępne w wielu różnych formach. Serwer OpenLDAP jest w większości dystrybucji. Narzędzie do zarządzania oparte na graficznym interfejsie użytkownika dla katalogu LDAP jest dostępne w wielu serwerach LDAP typu open source, takich jak 389 i chyba też Apache DS.
Wspominałem projekt FreeIPA w tym kontekście w innym wątku jako zintegrowane rozwiązanie, ale dotyczy to tylko Linuksa.
Krótko mówiąc: czy nadal masz klientów Windows w swojej sieci?
Edycja: Najwyraźniej nie. Zbuduj sobie KDC, weź kopię 389 DS i gotowe. Następnie musisz wykonać skrypty LDAP, aby pobrać informacje o użytkowniku z kontrolera domeny i wstawić je do serwera LDAP. Nie sądzę, że możesz migrować hasła użytkowników, prawdopodobnie będziesz musiał je zresetować.
źródło
Ponieważ przeprowadzisz migrację z infrastruktury opartej na systemie Windows na infrastrukturę opartą na systemie Linux. Myślę, że oprócz konfiguracji nowych serwerów LDAP musisz przeprowadzić migrację informacji o koncie użytkownika. W takim przypadku możesz użyć narzędzia LDIFDE z serwera Windows AD Server, aby wyeksportować wymagane informacje. Następnie zaimportujesz te informacje do nowego katalogu.
źródło