Authentification LDAP: Windows Server2k3 contre 2k8

9

Nous avons environ 70% d'utilisateurs Linux, tous configurés pour s'authentifier auprès d'Active Directory via LDAP. Pour que cela fonctionne, nous avons utilisé les "Services Windows pour Unix" sous Windows Server 2003, et tout fonctionne bien.

Nous en sommes maintenant au point où le serveur exécutant cet engin est un peu fatigué et sera remplacé par une machine plus récente, exécutant Windows Server 2008 (où les services pertinents tels que le mappage du nom d'utilisateur et les changements de mot de passe, etc., sont intégrés à l'OS).

Et voici le hic: si un nouvel utilisateur est configuré via le serveur Win2k3, alors tout fonctionne bien. Si la même chose se fait via le serveur Win2k8, alors:

  1. Le plugin ADS sur le serveur 2k3 ne le reconnaît pas et se comporte comme si les attributs UNIX n'avaient jamais été définis.
  2. L'utilisateur ne peut pas s'authentifier auprès d'ADS à l'aide de LDAP.

Quelqu'un at-il rencontré ce problème? Si oui, comment avez-vous surmonté cela?

Si vous avez besoin d'informations supplémentaires pour fournir une aide supplémentaire, il suffit de demander et je vous la fournirai.

windows-server-2008 active-directory ldap Wolfgangsz
la source

Réponses:

3

Le mappage de nom LDAP a changé entre Win2K3 et 2K8. Le nouveau mappage (à appliquer dans /etc/ldap.conf) est:

nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber uidNumber
nss_map_attribute gidNumber gidNumber
nss_map_attribute cn sAMAccountName
nss_map_attribute uniqueMember member
nss_map_attribute userPassword msSFUPassword
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute loginShell loginShell
nss_map_attribute gecos cn
nss_map_objectclass posixGroup Group
nss_map_attribute shadowLastChange pwdLastSet

Veuillez me faire savoir si cela aide. Vous devrez peut-être également migrer les anciens utilisateurs - j'utiliserais ldapsearch et comparerais les nouveaux et les anciens utilisateurs (mais je pense qu'ils auront juste les deux attributs, si je me souviens)

Glen M
la source
Merci pour le conseil, je vais le vérifier. La migration n'est pas un gros problème, car nous avons tout cela emballé dans un paquet Debian local, que nous pouvons simplement mettre à niveau et faire savoir à tous les utilisateurs qu'ils doivent simplement mettre à jour leurs machines.
wolfgangsz
Eh bien, c'est en fait légèrement différent (au moins dans notre environnement: uid, uidNumber, gidNumber et cn n'ont pas du tout besoin d'être mappés (les noms sont identiques), uniqueMember -> à msSFUPosixMember, userPassword -> msSFU30Password, et quelques autres modifications. Mettez j'accepte la réponse pour m'avoir pointé dans la bonne direction
wolfgangsz
1

J'ai décidé de poster une autre réponse ici, car c'est généralement l'endroit où les gens trouvent les informations qu'ils recherchent.

Bien que ce qui précède soit toujours très valide et vrai, j'ai maintenant trouvé un moyen beaucoup plus facile de connecter mes clients via AD. Debian squeeze (la dernière version stable) contient sssd (un paquet qui provient de l'environnement redhat / fedora), ce qui en fait un jeu d'enfant complet. Lors de l'installation, il trouve et suggère des contrôleurs de domaine, et je n'avais besoin que de changer très peu de choses dans le fichier de configuration pour le faire fonctionner pour moi. Il fonctionne parfaitement avec Windows Server 2008 et peut également mettre en cache les mots de passe (important pour les utilisateurs d'ordinateurs portables).

Wolfgangsz
la source
wolfgangsz, puis-je vous contacter pour obtenir plus d'informations sur sssd? Comment?
pcharlesleddy