我对 LDAP 和 AD 还不太熟悉。我必须将我们当前的授权/身份验证结构从 AD 移植到 OpenLDAP。是否可以在 Windows 中运行整个设置?迁移策略和调整所需的步骤是什么?我读过一些教程,所以应该能够理解输入的内容。问候,Anthony G。
答案1
我的第一个答案是不要......
我认为您实际上想问的是:如何从 Microsoft AD 域移植到 Samba/OpenLDAP/Kerberos 设置。Samba 实际处理身份验证/授权方面的事情 - OpenLDAP 只是一个目录。
Samba 几乎不支持组策略 - 您需要使用 Windows NT4 时代的 NTPOL 编辑器 - 它只具有 XP 本地组策略的 70-80% 的功能(在某些聪明人谈论 Samba 4 之前 - 它还没有推出,也许有一天会推出)。您只能将 Samba 策略应用于用户组而不是计算机组 - 列表还在继续。
没有简单的迁移向导,几乎每个 Samba 教程都是从头开始的,您最终可能会这样做。最后,您的设置会不如以前好 - 我建议您仔细考虑这是否是正确的做法(是的,我确实支持 Samba 域,并希望每天都有一个 Windows 域)。
答案2
- OpenLDAP 可以在 Windows 上运行,是的。我并不推荐它;如果你运行的是 Windows 服务器操作系统,那么你将获得与 AD 更好的集成。
- 我认为 OpenLDAP 策略和 Active Directory 策略并不完全兼容。至少,OpenLDAP 有一个 AD 上不存在的“配置”目录,并且 AD 处理服务器引用的方式不同。这两种实现还支持不同的扩展(例如,直到最近,WHOAMI 扩展才在 AD 上得到支持)。您可能必须返回到策略文档并为 OpenLDAP 创建新的 ACL。
- 如果您使用严格的架构强制执行(您应该这样做),则必须为您的 AD 数据找到正确的对象类。如果您只是迁移用户,仅此而已,那么转储/导入它们可能比复制整个 LDAP 树更容易。注意密码加盐/哈希算法。
如果您使用 AD 身份验证,则实际的身份验证是 Kerberos,而不是 LDAP。用户主体是存储在 LDAP 中是的,但身份验证步骤是 Kerberos。OpenLDAP 本身不会为您提供与 AD 相同的功能(单点登录)。为此,您需要将其与 Kerberos 服务器(例如 Heimdal 或 MIT Kerberos)配对。
这不是一个简单的过程。对于任何规模的组织来说,这都应该由熟悉企业软件架构并具有 UNIXish 操作系统使用经验的 MCSE 来完成。