none
Integracion Active Directory y LDAP (OpenLDAP) RRS feed

  • Pregunta

  • Hola a todos,

    Me gustaria saber si alguno de uds. ha tenido experiencias de integracion de AD con LDAP. Mi idea es tener un nucleo LDAP y que AD consuma los usuarios.

    Tengo una inquietud ¿El dominio raiz seria p.ej ldap.sitio.int y el AD seria ad.sitio.int no?

    LDAP (sitio.int) -------> AD (sitio.int)

    Tengo entendido que se puede importar/exportar el LDIF desde OpenLDAP hacia un AD.

    Este esquema lo estoy implementando por un tema de autenticación unificada, que trabajará mediante multiplataforma y me es necesario tener como base un LDAP.

    Saludos,

     

    lunes, 24 de mayo de 2010 19:16

Respuestas

  • Hola,

    para conectarte por LDAP a la Base de datos de Active Diretory puedes establecer una conexion con cualquiera de los DCs de tu dominio a traves del puerto 389 para LDAP y 686 para LDAP-SSL.

    La otra instancia LDAP la puedes instalar en el equipo/servidor que tu quieras, en el caso de instancias ADLDS ( Active Directory Lightweight Directory Services, el equivalente a OpenLDAP de microsoft ) pueden coexistir en el mismo servidor que tengas ADDS instalado y Microsoft recomienda usar puertos por encima del 50000 "como norma".

    Mediante LDIFDE podras realizar importaciones y exportaciones desde<-->hacia las instancias mencionadas, entiendo que en este punto debes desarrollar el interface para conectar ambas particiones y generar el flujo de datos necesario para conseguir tu objetivo, para la importacion automatica de usuarios de ADDS desde tu particion LDAP deberas tener en cuenta que en ADDS el password del usuario no se almacena en texto plano ni de forma visible sino que se almacena en forma de HASH cuyo algoritmo criptografico es unidireccional ( se puede crear a partir de un password pero no se puede realizar el paso inverso ) y generar ese hash para la clave de los usuarios que quieres importar desde tu instancia OpenLDAP en ADDS conlleva una serie de normas que debes conocer, aqui tienes un articulo al respecto

     How to set a user's password with Ldifde

    http://support.microsoft.com/default.aspx?scid=kb;EN-US;263991

    Saludos!!

     

     


    MCTS: Windows Server 2008 Active Directory, Configuring
    lunes, 24 de mayo de 2010 20:14
    Moderador
  • Hola,

    releyendo tu pregunta me queda la duda de si lo que quieres es exportar los usuarios de ADDS a OpenLDAP y no el proceso inverso que es lo que yo entendi con lo de "Mi idea es tener un nucleo LDAP y que AD consuma los usuarios." . En este caso la cosa todavia se complicaria mas porque los Hash de los passwords de los usuarios no se pueden leer de AD y hasta donde yo se, no hay metodo "legal" para exportarlos.

    Otra solucion puede ser implantar algo como Microsoft Forefront Identity Manager http://technet.microsoft.com/es-es/library/cc626295(en-us).aspx 


    MCTS: Windows Server 2008 Active Directory, Configuring
    lunes, 24 de mayo de 2010 20:33
    Moderador

Todas las respuestas

  • Hola,

    para conectarte por LDAP a la Base de datos de Active Diretory puedes establecer una conexion con cualquiera de los DCs de tu dominio a traves del puerto 389 para LDAP y 686 para LDAP-SSL.

    La otra instancia LDAP la puedes instalar en el equipo/servidor que tu quieras, en el caso de instancias ADLDS ( Active Directory Lightweight Directory Services, el equivalente a OpenLDAP de microsoft ) pueden coexistir en el mismo servidor que tengas ADDS instalado y Microsoft recomienda usar puertos por encima del 50000 "como norma".

    Mediante LDIFDE podras realizar importaciones y exportaciones desde<-->hacia las instancias mencionadas, entiendo que en este punto debes desarrollar el interface para conectar ambas particiones y generar el flujo de datos necesario para conseguir tu objetivo, para la importacion automatica de usuarios de ADDS desde tu particion LDAP deberas tener en cuenta que en ADDS el password del usuario no se almacena en texto plano ni de forma visible sino que se almacena en forma de HASH cuyo algoritmo criptografico es unidireccional ( se puede crear a partir de un password pero no se puede realizar el paso inverso ) y generar ese hash para la clave de los usuarios que quieres importar desde tu instancia OpenLDAP en ADDS conlleva una serie de normas que debes conocer, aqui tienes un articulo al respecto

     How to set a user's password with Ldifde

    http://support.microsoft.com/default.aspx?scid=kb;EN-US;263991

    Saludos!!

     

     


    MCTS: Windows Server 2008 Active Directory, Configuring
    lunes, 24 de mayo de 2010 20:14
    Moderador
  • Hola,

    releyendo tu pregunta me queda la duda de si lo que quieres es exportar los usuarios de ADDS a OpenLDAP y no el proceso inverso que es lo que yo entendi con lo de "Mi idea es tener un nucleo LDAP y que AD consuma los usuarios." . En este caso la cosa todavia se complicaria mas porque los Hash de los passwords de los usuarios no se pueden leer de AD y hasta donde yo se, no hay metodo "legal" para exportarlos.

    Otra solucion puede ser implantar algo como Microsoft Forefront Identity Manager http://technet.microsoft.com/es-es/library/cc626295(en-us).aspx 


    MCTS: Windows Server 2008 Active Directory, Configuring
    lunes, 24 de mayo de 2010 20:33
    Moderador