การตรวจสอบสิทธิ์ LDAP: Windows Server2k3 กับ 2k8

9

เรามีผู้ใช้งานลินุกซ์ประมาณ 70% ซึ่งทั้งหมดได้รับการกำหนดค่าให้ตรวจสอบสิทธิ์กับ Active Directory ผ่าน LDAP เพื่อให้สิ่งนี้ใช้งานได้เราใช้ "Windows Services for Unix" ภายใต้ Windows Server 2003 และทำงานได้ดี

ตอนนี้เราอยู่ในจุดที่เซิร์ฟเวอร์ที่ใช้การคุมกำเนิดนี้เริ่มเบื่อแล้วและจะถูกแทนที่ด้วยเครื่องรุ่นใหม่ที่ใช้ Windows Server 2008 (ซึ่งบริการที่เกี่ยวข้องเช่นการเปลี่ยนชื่อผู้ใช้และการเปลี่ยนรหัสผ่านเป็นต้นรวมอยู่ด้วย ระบบปฏิบัติการ)

และนี่คือปัญหา: หากผู้ใช้รายใหม่ได้รับการกำหนดค่าผ่านเซิร์ฟเวอร์ Win2k3 แสดงว่าผู้ใช้ทุกคนทำงานได้ดี หากทำสิ่งเดียวกันผ่านเซิร์ฟเวอร์ Win2k8 ดังนั้น:

ปลั๊กอิน ADS บนเซิร์ฟเวอร์ 2k3 ไม่รู้จักและทำงานเหมือนกับว่าไม่มีการตั้งค่าแอตทริบิวต์ UNIX
ผู้ใช้ไม่สามารถรับรองความถูกต้องกับโฆษณาโดยใช้ LDAP

มีใครประสบปัญหานี้หรือไม่? ถ้าเป็นเช่นนั้นคุณเอาชนะสิ่งนี้ได้อย่างไร

หากคุณต้องการข้อมูลเพิ่มเติมใด ๆ เพื่อให้ความช่วยเหลือเพิ่มเติมเพียงแค่ถามและฉันจะให้มัน

windows-server-2008 active-directory ldap

— wolfgangsz
แหล่งที่มา

3

การแมปชื่อ LDAP มีการเปลี่ยนแปลงระหว่าง Win2K3 และ 2K8 การแม็พใหม่ (เพื่อใช้ใน /etc/ldap.conf) คือ:

nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber uidNumber
nss_map_attribute gidNumber gidNumber
nss_map_attribute cn sAMAccountName
nss_map_attribute uniqueMember member
nss_map_attribute userPassword msSFUPassword
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute loginShell loginShell
nss_map_attribute gecos cn
nss_map_objectclass posixGroup Group
nss_map_attribute shadowLastChange pwdLastSet

โปรดแจ้งให้เราทราบหากสิ่งนั้นช่วยได้ คุณอาจต้องโยกย้ายผู้ใช้เก่าเช่นกัน - ฉันใช้ ldapsearch และเปรียบเทียบผู้ใช้ใหม่และเก่า (แต่ฉันคิดว่าพวกเขาจะมีทั้งสองคุณลักษณะถ้าฉันจำได้)

— เกล็น
แหล่งที่มา

ขอบคุณสำหรับคำแนะนำฉันจะตรวจสอบ การย้ายข้อมูลไม่ใช่ปัญหาใหญ่เพราะเรามีแพ็คเกจทั้งหมดนี้เป็นแพ็คเกจเดเบียนท้องถิ่นซึ่งเราสามารถอัปเกรดและแจ้งให้ผู้ใช้ทุกคนทราบว่าพวกเขาควรอัปเดตเครื่องของพวกเขา

— wolfgangsz

จริง ๆ แล้วมันแตกต่างกันเล็กน้อย (อย่างน้อยในสภาพแวดล้อมของเรา: uid, uidNumber, gidNumber และ cn ไม่ต้องการการแมปเลย (ชื่อเหมือนกัน), uniqueMember -> ถึง msSFUPosixMember, userPassword -> msSFU30Password และการเปลี่ยนแปลงอื่น ๆ ใส่ฉันยอมรับคำตอบสำหรับการชี้ผมในทิศทางที่ถูกต้อง.

— wolfgangsz

1

ฉันตัดสินใจที่จะโพสต์คำตอบอื่นที่นี่เนื่องจากโดยปกติจะเป็นสถานที่ที่ผู้คนค้นหาข้อมูลที่พวกเขากำลังมองหา

ในขณะที่ข้างต้นทั้งหมดยังคงถูกต้องและเป็นความจริงตอนนี้ฉันได้พบวิธีที่ง่ายกว่ามากในการเชื่อมต่อลูกค้าของฉันผ่านทางโฆษณา Debian squeeze (รีลีสที่เสถียรล่าสุด) ประกอบด้วย sssd (แพ็กเกจที่มีต้นกำเนิดในสภาวะแวดล้อม redhat / fedora) ซึ่งทำให้ทั้งหมดนี้เป็นเรื่องง่าย เมื่อทำการติดตั้งแล้วมันจะค้นหาและแนะนำตัวควบคุมโดเมนและฉันแค่ต้องการเปลี่ยนแปลงบางอย่างในไฟล์ปรับแต่งเพื่อให้มันทำงานได้สำหรับฉัน มันทำงานได้ดีอย่างสมบูรณ์กับ Windows Server 2008 และยังสามารถแคชรหัสผ่าน (สำคัญสำหรับผู้ใช้แล็ปท็อป)

— wolfgangsz
แหล่งที่มา

wolfgangsz ฉันจะติดต่อคุณเพื่อขอข้อมูลเพิ่มเติมเกี่ยวกับ sssd ได้ไหม? อย่างไร

— pcharlesleddy