我们有一个域控制器,其中Active Directory包含许多具有自定义属性的基本用户。我们正在寻找一种将活动目录用户同步到OpenLDAP(当前在 Debian 6 上运行)的方法,并想知道是否有人有这方面的经验,可以提供一些指导。
有这个项目,但它的指南是基本的,并且缺少 AD OpenLDAP(它确实有反之亦然)
希望每次更改都会被推送到Active Directory,OpenLDAP server以便用户可以在那里查询。我们不想仅仅转发请求,因为有时服务器Active Directory不可用。
如果您在这方面有任何意见或建议,我将不胜感激。
答案1
我刚刚读了你的问题并想回答一下。是的,有一种更简单的方法可以将您的 Active Directory 用户同步到 OpenLDAP。我工作的 Linux 发行版 Univention Corporate Server (UCS) 是基于 Debian 的,提供各种 Active Directory 服务,包括一个名为“Active Directory Connection”的工具,该工具在 Microsoft Active Directory 和 OpenLDAP 之间创建自动同步过程Univention Corporate Server 使用的目录,包括密码、组定义和其他目录服务对象的同步。因此,Active Directory Connection 工具避免了双重、复杂且容易出错的管理。如果您有一天可能考虑更换 AD 域,UCS 提供了一种名为 Active Directory Takeover 的迁移工具。配置 Active Directory 连接后也可以使用此功能。
UCS 手册中有关 Active Directory 连接的更多信息请参考此链接。
如果您想尝试 UCS 和 am 工具(您可以通过 UCS 集成的 Univention 应用中心访问这些工具),请通过以下方式下载 ISO 或 VM 映像:这个链接。
答案2
现在到 2023 年(九年后),我将使用 Samba 服务器作为 AD 环境中的完整域控制器,同步到现有的 Windows DC。您可以使用它来增强 AD 可用性。 Windows DC和Samba DC都可以通过LDAP查询