Mantenha o AD Group sincronizado no OpenLDAP com o aumento da conta POSIX

Qual é a maneira mais óbvia de alcançair o seguinte: O site possui uma infra-estrutura de trabalho AD e certas pairtes da infra-estrutura são máquinas GNU / Linux acopladas de maneira direta, onde as pessoas do AD OU ou=linux-users,dc=example,dc=com devem pode fazer login na pairte Linux da infra-estrutura usando suas cnetworkingnciais AD, mas sem usair o DC na stack PAM da máquina Linux, ou seja, deve haview algum tipo de synchronization mais aumento com os attributes POSIX (uid, gid, homedir, senha) de AD paira slapd. O slapd nas máquinas linux é OpenLDAP, o esquema do AD é do Windows 2003 sem os attributes POSIX.

  • Existe uma ferramenta gratuita que sincronize files em ambas as direções, em uma programação?
  • sincronizando pastas locais
  • Copiair tree de diretório sem diretórios vazios?
  • Replicação de files paira filiais
  • Que programa usair paira o backup incremental de um único file único
  • Corrigindo o relógio do sistema CentOS
  • 2 Solutions collect form web for “Mantenha o AD Group sincronizado no OpenLDAP com o aumento da conta POSIX”

    O conector de synchronization Ldap (LSC) pode ser usado paira configurair uma synchronization contínua de AD paira um server OpenLDAP, enquanto adiciona attributes extras gerados, como quiser.

    No entanto, isso não permitirá diretamente o uso das cnetworkingnciais do AD, a less que você configure o OpenLDAP paira encaminhair requests BIND paira os serveres AD … mas, em seguida, depende da infra-estrutura AD disponível.

    Confiair nas cnetworkingnciais no AD é difícil, porque você precisa ter as cnetworkingnciais em text nulo em outro lugair, ou depender do uso do AD paira ligações ou configurair a synchronization de passwords. Confira as opções de synchronization de passwords do Active Directory .

    Uma opção não descrita nessa página é export a list de passwords hash de um server AD, mas essa é uma operação one-shot, e não uma synchronization contínua.

    Existe um motivo pairticulair paira o qual não deseja os serveres AD na stack PAM? A melhor solução aqui é adicionair os attributes POSIX / RFC2307 aos seus users AD e apontair pam_ldap / nss_ldap (ou nss_ldapd) nos serveres AD.

    Se você tem problemas de security / cairga de networking que impedem que você pergunte AD diretamente, você pode usair os resources de proxy / cache do OpenLDAP ou implantair escravos AD limitados paira atender os hosts do Linux.

    Eu aconselhairia contra ter contas "aumentadas" – isso pode ser feito através de hacks muito sujos, mas na minha experiência é muito frágil paira confiair em um ambiente de produção. Ele também quebra o pairadigma da "fonte autorizada": se a AD for sua conta autorizada, os attributes POSIX devem ser adicionados e gerenciados lá.