我目前运行带有 Active Directory 的 Windows 服务器。但由于我们不再使用 Exchange 2007,它变成了一个具有身份验证功能的奇特文件服务器。
我想将 AD 移至 Linux 服务器。最好的方法是什么?我应该使用哪个 LDAP 服务器?
更新不会剩下任何 Windows 客户端。它们将更新为 Edubuntu。
答案1
Samba v.3 能够成为 NT4 风格的域控制器。如果您有一个运行 Exchange 的 AD 服务器,那还不够好。
桑巴 v.4将要能够成为Windows 2003风格的域控制器,但还没有完成。到目前为止还没有。
下一个问题是:您还有 Windows 客户端吗?如果是这样,你就有问题了。 Windows 不像 Linux 那样可插拔。虽然可以更改某个 dll 文件(我忘记了名称)以针对通用 KDC 进行身份验证,但 Windows 是为与 AD 一起使用以及单独与 AD 一起使用而构建的。其他任何事情都需要更改 Windows 系统 dll。太糟糕了。
如果您没有任何 Windows 客户端,那么事情就会变得容易得多。您可以轻松地使用组合的 Kerberos / LDAP 解决方案替换 Windows AD。 Kerberos kdc(密钥分发中心)软件包位于所有发行版中。 LDAP 服务器有多种不同的形式。大多数发行版中都有 OpenLDAP 服务器。许多开源 LDAP 服务器都提供了基于 GUI 的 LDAP 目录管理工具,例如 389,我认为 Apache DS 也是如此。
我提到了自由IPA在这个上下文中的项目作为集成解决方案在另一个线程中,但它仅适用于 Linux。
那么,长话短说:您的网络上还有 Windows 客户端吗?
编辑:显然不是。因此,为自己构建一个 KDC,获取 389 DS 的副本,然后就可以开始了。然后,您必须执行一些 LDAP 脚本来从域控制器中提取用户信息并将其插入到 LDAP 服务器中。不过,我认为您无法迁移用户的密码,您可能必须重置这些密码。
答案2
因为您将从基于 Windows 的基础架构迁移到基于 Linux 的基础架构。我认为除了设置新的 LDAP 服务器之外,您还需要迁移用户帐户信息。如果是这种情况,也许您可以使用 Windows AD Server 中的 LDIFDE 工具导出所需的信息。之后,您可以将该信息导入到新目录中。