none
Ldap и active directory RRS feed

  • Вопрос

  • Есть LDAP,  который стоит на Linux и  виндоус домайн сервер с active directory.

    Как можно настроить LDAP идентификацию для логина на компьютеры в домейне виндоус? То есть не создавая базу данных со списком пользователей на active directory, а используя существующею базу LDAP? 


    • Изменено gsdgadh 17 марта 2019 г. 9:31
    17 марта 2019 г. 9:19

Ответы

  • А может, лучше тогда пойти наоборот - настроить сервисы, которые используют для аутентификации LDAP на Linux, на аутеннтификацию через LDAP (или что там ещё) по ученым записям в Windows AD?

    Есть серьёзные подозрения, что эту задачу решить проще, чем задачу синхронизации учетных записей.


    Слава России!

    18 марта 2019 г. 13:32
  • проблема в том, что задача стоит уйти от самбы на винодус домеин. При это не вести разные учетные записи для пользователей Линукса и Виндоус. Надо как-то с Линукса брать передавать данные на домейн виндоус. 
    Все изменения, управление учтеными записями будет вестись на Линуксе.

    та вы можете уйти и от самбы и от ldap оставив один windows

    одноразовая миграция конечно займет определенное время но вы избавитесь от потенциальных костылей в этой связке


    The opinion expressed by me is not an official position of Microsoft

    18 марта 2019 г. 13:30
    Модератор

Все ответы

  • вы спрашиваете про федерацию ? если да, то кто должен быть точкой входа?

    перефразируйте пожалуйста вопрос


    The opinion expressed by me is not an official position of Microsoft

    17 марта 2019 г. 10:24
    Модератор
  • попробую.

    Есть готовый LDAP на Линуксе со списком пользователей, группами и т.д. Есть новый домейн контролер  на виндоус 2012R без списка пользователей. Одни и те же пользователи должны иметь возможность заходить на машины с Линуксом и также на виндоус компьютеры, через active directory.

    Не хочется просто копировать пользователей с Линукса на Виндоус сервер. Хочется чтобы при входе пользователя на комп с виндоус, active directory обращалась к ЛДАП на Линуксе для аутенкиции.

    Или чтобы  пользователи с ЛДАП(на линуксе) синхронизировались на сервере виндоус, раз в какое-то время. При этом получится что список пользователей будет сохранен локально и на домейн контролере.

    17 марта 2019 г. 12:59
  • вы можете настроить федерацию на windows - в таком случае запросы будут перенаправляться на linux (костыль еще тот, но некоторый функционал через этот костыль работать будет)

    синхронизировать группы и пользователей сложно но теоретически возможно. сложность в том что учетка pupkin.a помимо всего прочего имеет уникальный sid который совпадать не будет

    но есть такие аттрибуты как пароли, которые и вовсе не хранятся в открытом виде...

    поясните суть вашей задачи : зачем у вас появился КД, зачем вам база на линуксе, в чем получаемый профит


    The opinion expressed by me is not an official position of Microsoft

    17 марта 2019 г. 14:24
    Модератор
  • База на Линуксе это то чем мы пользуемся для пользователей. 
    Для станций Виндоус всегда пользовались ДК на Самбе, но хотим перейти на федерацию(это эктив директори по русски?).
    Пользователи заходят на Линукс через ЛДАП и также на виндоус сейчас(пока ДК это Самба). Создавать отдельную базу на федерации без синхронизации с уже сущетствующей не хочется.
    17 марта 2019 г. 14:49
  • ааа федерация это AD FS, поняла. 
    17 марта 2019 г. 14:57
  • если у вас есть кд на windows то почему не мигрировать с линукса исключив дублирование задач?

    The opinion expressed by me is not an official position of Microsoft

    17 марта 2019 г. 16:13
    Модератор
  • База на Линуксе это то чем мы пользуемся для пользователей. 
    Для станций Виндоус всегда пользовались ДК на Самбе, но хотим перейти на федерацию(это эктив директори по русски?).
    Пользователи заходят на Линукс через ЛДАП и также на виндоус сейчас(пока ДК это Самба). Создавать отдельную базу на федерации без синхронизации с уже сущетствующей не хочется.

    На федерацию ( аутентификацию с использованием веб-служб - WS-Trust, WS-Federation - или с использованием Oauth2) для аутентификации на рабочей станции вы не перейдёте: эти протоколы годятся только для аутентификации веб-приложениях.

    Для рабочих станций стандартно используются только протоколы аутентификации Kerberos и NTLN.  Причем Kerberos в Windows несет в себе ещё и расширинную информацию для авторизации (членство в группах и т.п.), так что не каждый KDС годится на то, чтобы работать с рабочими станциями без посредства "теневых" учетных записей в AD (Samba4 - годится).

    Нестандартный модуль для аутентификации через LDAP bind сделать, теоретически, можно, конечно. Но я про такие не слышал.


    Слава России!

    17 марта 2019 г. 19:36
  • Мигрировать не знаю если подойдет, придется делать это потом несколько раз в день. 
    есть какие-то специальные инструменты для мигрирования? 
    Надо будет делать импорт  файла из Лдап или АД может сразу подключаться к Лдап и брать оттуда данные?
    18 марта 2019 г. 10:17
  • SAMBA - какой версии?

    Если 4, то её учили реплицироваться с КД Windows: насчет 2019 не уверен, но с какой-то учили точно. Посмотрите конкретно вашу версию и какой функциональный уровень домена она поддерживает, и попробуйте добавить в домен КД под Windows этой версии, и, если всё пойдет ровно - замените им самбу. Потом, если нужно - проапгрейдите домен, добавив КД уже на рабочей версии. Другой вариант - сделать связь между SAMBA и AD через внешее двухстороннее доверие и попробовать постепенно мигрировать пользователей и компьютеры с помощью ADMT (лучше - старой версии, которая поддерживала домены NT).


    Слава России!

    18 марта 2019 г. 11:03
  • проблема в том, что задача стоит уйти от самбы на винодус домеин. При это не вести разные учетные записи для пользователей Линукса и Виндоус. Надо как-то с Линукса брать передавать данные на домейн виндоус. 
    Все изменения, управление учтеными записями будет вестись на Линуксе.
    18 марта 2019 г. 12:42
  • проблема в том, что задача стоит уйти от самбы на винодус домеин. При это не вести разные учетные записи для пользователей Линукса и Виндоус. Надо как-то с Линукса брать передавать данные на домейн виндоус. 
    Все изменения, управление учтеными записями будет вестись на Линуксе.

    та вы можете уйти и от самбы и от ldap оставив один windows

    одноразовая миграция конечно займет определенное время но вы избавитесь от потенциальных костылей в этой связке


    The opinion expressed by me is not an official position of Microsoft

    18 марта 2019 г. 13:30
    Модератор
  • А может, лучше тогда пойти наоборот - настроить сервисы, которые используют для аутентификации LDAP на Linux, на аутеннтификацию через LDAP (или что там ещё) по ученым записям в Windows AD?

    Есть серьёзные подозрения, что эту задачу решить проще, чем задачу синхронизации учетных записей.


    Слава России!

    18 марта 2019 г. 13:32