LDAP-Authentifizierung: Windows Server2k3 vs. 2k8

9

Wir haben ungefähr 70% Linux-Benutzer, die alle so konfiguriert sind, dass sie sich über LDAP bei Active Directory authentifizieren. Damit dies funktioniert, haben wir unter Windows Server 2003 die "Windows-Dienste für Unix" verwendet, und alles funktioniert einwandfrei.

Wir sind jetzt an einem Punkt angelangt, an dem der Server, auf dem dieser Apparat ausgeführt wird, etwas müde wird und durch einen neueren Computer ersetzt wird, auf dem Windows Server 2008 ausgeführt wird (in den die relevanten Dienste wie Benutzernamenzuordnung und Kennwortänderungen usw. integriert sind) das Betriebssystem).

Und hier ist das Problem: Wenn ein neuer Benutzer über den Win2k3-Server konfiguriert wird, funktioniert alles einwandfrei. Wenn dasselbe über den Win2k8-Server erfolgt, gilt Folgendes:

  1. Das ADS-Plugin auf dem 2k3-Server erkennt es nicht und verhält sich so, als ob die UNIX-Attribute niemals festgelegt worden wären.
  2. Der Benutzer kann sich mit LDAP nicht bei ADS authentifizieren.

Ist jemand auf dieses Problem gestoßen? Wenn ja, wie haben Sie das überwunden?

Wenn Sie zusätzliche Informationen benötigen, um weitere Hilfe zu leisten, fragen Sie einfach und ich werde sie bereitstellen.

windows-server-2008 active-directory ldap wolfgangsz
quelle

Antworten:

3

Die LDAP-Namenszuordnung hat sich zwischen Win2K3 und 2K8 geändert. Das neue Mapping (das in /etc/ldap.conf angewendet werden soll) lautet:

nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber uidNumber
nss_map_attribute gidNumber gidNumber
nss_map_attribute cn sAMAccountName
nss_map_attribute uniqueMember member
nss_map_attribute userPassword msSFUPassword
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute loginShell loginShell
nss_map_attribute gecos cn
nss_map_objectclass posixGroup Group
nss_map_attribute shadowLastChange pwdLastSet

Bitte lassen Sie mich wissen, ob das hilft. Möglicherweise müssen Sie auch die alten Benutzer migrieren. Ich würde ldapsearch verwenden und neue und alte Benutzer vergleichen (aber ich denke, sie werden nur beide Attribute haben, wenn ich mich recht erinnere).

Glen M.
quelle
Vielen Dank für den Rat, ich werde es überprüfen. Die Migration ist kein großes Problem, da wir all dies in ein lokales Debian-Paket gepackt haben, das wir einfach aktualisieren können und alle Benutzer wissen lassen, dass sie einfach ihre Computer aktualisieren sollten.
Wolfgangsz
Nun, es ist tatsächlich etwas anders (zumindest in unserer Umgebung: uid, uidNumber, gidNumber und cn müssen überhaupt nicht zugeordnet werden (Namen sind identisch), uniqueMember -> zu msSFUPosixMember, userPassword -> msSFU30Password und einige andere Änderungen. Ich akzeptiere die Antwort, weil sie mich in die richtige Richtung weist
Wolfgangsz
1

Ich habe beschlossen, hier eine weitere Antwort zu veröffentlichen, da dies normalerweise der Ort ist, an dem die Leute die Informationen finden, nach denen sie suchen.

Während das oben Gesagte immer noch sehr gültig und wahr ist, habe ich jetzt einen viel, viel einfacheren Weg gefunden, meine Kunden über AD zu verbinden. Debian Squeeze (die neueste stabile Version) enthält sssd (ein Paket, das aus der Redhat / Fedora-Umgebung stammt), was all dies zu einem Kinderspiel macht. Bei der Installation werden Domänencontroller gefunden und vorgeschlagen, und ich musste nur sehr wenige Dinge in der Konfigurationsdatei ändern, damit sie für mich funktioniert. Es funktioniert einwandfrei mit Windows Server 2008 und kann auch Kennwörter zwischenspeichern (wichtig für Laptop-Benutzer).

wolfgangsz
quelle
wolfgangsz, kann ich dich kontaktieren, um weitere Informationen über sssd zu erhalten? Wie?
pcharlesleddy