我们希望主要使用 LDAP 作为整个由 Linux 和 Windows 机器组成的环境的身份验证方式。我想知道是否有办法使用我们现有的 LDAP 服务器通过 AD 对 Windows 机器上的用户进行身份验证?从工程/管理的角度来看,这显然会有很大帮助,只需为用户管理员提供一个集中位置。截至目前,我们在 LDAP 中设置了一个用户,但这不会影响我们的 Windows 机器,因此我们必须在 AD 中创建域用户。只是想简化流程并允许处理更重要的事情。谢谢大家!
*我偶然发现了 adLDAP,http://adldap.sourceforge.net/,这似乎是一个很好的起点。
答案1
您不能使用任何旧 LDAP 服务器作为 Windows 计算机的身份验证源。Active Directory 不仅仅是一个 LDAP 服务器。
假设您不介意没有组策略,我会考虑创建一个具有 LDAP 支持的身份验证的 Samba 域,以加入您的 Windows 计算机。这几乎是您使用当前基于 Unix 的工具可以获得的最接近 Active Directory 环境的程度。Samba 最终将能够模拟 Active Directory 域,但目前还无法实现。
答案2
如果您希望使用现有的 LDAP 作为主要(唯一)目录并放弃 AD,那么 Evan Anderson 的回答是正确的。
如果您愿意放弃现有的 LDAP 并将所有内容都基于 Active Directory,那么这应该是可能的。由于 AD 公开的 ldap 接口,任何当前针对非 AD ldap 进行身份验证的内容都应该能够针对 AD 进行身份验证。当然,如果您将 LDAP 用于其他用途(不仅仅是身份验证),那么您可能会遇到问题,除非您可以让 AD 也支持这些功能(通过应用必要的架构等)。
至于 adLDAP,我从未使用过,但快速浏览一下您提供的链接,看起来它只是一个用于与 AD 对话的客户端库。从合并到一个目录的角度来看,我认为它对您没有帮助。
但是,它可能使保存单独的目录变得更容易。例如,如果您可以修改 LDAP 用户管理软件以对 AD 进行后端调用(通过 adLDAP),那么您就可以使将用户添加到 LDAP 会自动将用户添加到 AD,等等。
答案3
我相信您可以使用 Samba、kerberos 和 LDAP 通过 AD 对 Windows 计算机进行身份验证。我不确定这是否明智。
您可以使用 ldap 工具(例如 ldapadd、ldapmodify、ldap delete)或库(例如 PHP 或 perl LDAP 模块)来填充和维护 AD 中的条目。
因此,没有理由不能编写不同时更新 LDAP 和 AD 目录的用户管理脚本。