Autenticação LDAP: Windows Server2k3 vs. 2k8

9

Temos cerca de 70% de usuários Linux, todos configurados para autenticação no Active Directory através do LDAP. Para que isso funcione, usamos o "Windows Services for Unix" no Windows Server 2003 e tudo funciona bem.

Agora estamos em um ponto em que o servidor que está executando esta engenhoca está ficando um pouco cansado e será substituído por uma máquina mais nova, executando o Windows Server 2008 (onde os serviços relevantes, como mapeamento de nome de usuário e alterações de senha etc.) estão integrados ao o SO).

E aqui está o problema: se um novo usuário estiver configurado através do servidor Win2k3, tudo funcionará bem. Se a mesma coisa for feita através do servidor Win2k8, então:

  1. O plug-in ADS no servidor 2k3 não o reconhece e se comporta como se os atributos UNIX nunca tivessem sido definidos.
  2. O usuário não pode se autenticar no ADS usando LDAP.

Alguém encontrou esse problema? Se sim, como você superou isso?

Se você precisar de alguma informação adicional para fornecer mais ajuda, basta perguntar e eu a fornecerei.

windows-server-2008 active-directory ldap wolfgangsz
fonte

Respostas:

3

O mapeamento de nome LDAP foi alterado entre Win2K3 e 2K8. O novo mapeamento (para aplicar no /etc/ldap.conf) é:

nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber uidNumber
nss_map_attribute gidNumber gidNumber
nss_map_attribute cn sAMAccountName
nss_map_attribute uniqueMember member
nss_map_attribute userPassword msSFUPassword
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute loginShell loginShell
nss_map_attribute gecos cn
nss_map_objectclass posixGroup Group
nss_map_attribute shadowLastChange pwdLastSet

Por favor, deixe-me saber se isso ajuda. Você pode ter que migrar os usuários antigos também - eu usaria o ldapsearch e compararia usuários novos e antigos (mas acho que eles terão apenas os dois atributos, se bem me lembro)

Glen M
fonte
Obrigado pelo conselho, vou dar uma olhada. A migração não é um grande problema, porque temos tudo isso empacotado em um pacote debian local, que podemos apenas atualizar e informar a todos os usuários que eles devem simplesmente atualizar suas máquinas.
111311 Wolfgangsz #
Bem, na verdade é um pouco diferente (pelo menos em nosso ambiente: uid, uidNumber, gidNumber e cn não precisam ser mapeados de maneira alguma (os nomes são idênticos), uniqueMember -> para msSFUPosixMember, userPassword -> msSFU30Password e algumas outras alterações. Coloque Eu aceito a resposta para me apontar na direção certa.
wolfgangsz
1

Decidi postar outra resposta aqui, já que geralmente é o local onde as pessoas encontram as informações que estão procurando.

Embora tudo acima seja ainda muito válido e verdadeiro, agora encontrei uma maneira muito, muito mais fácil de conectar meus clientes via AD. O Debian squeeze (a última versão estável) contém sssd (um pacote que se origina no ambiente redhat / fedora), o que torna tudo isso uma brisa completa. Na instalação, ele encontra e sugere controladores de domínio, e eu só precisava alterar muito poucas coisas no arquivo de configuração para fazê-lo funcionar para mim. Funciona perfeitamente bem com o Windows Server 2008 e também pode armazenar em cache senhas (importantes para usuários de laptops).

wolfgangsz
fonte
wolfgangsz, posso entrar em contato para obter mais informações sobre sssd? como?
pcharlesleddy