ユーザー情報には OpenLDAP、認証には Kerberos を使用した正常に動作するセットアップがありますが、Windows 統合も必要であり、そのためには Active Directory に移行するのが良いアイデアであると判断しました。OpenLDAP からアカウント情報を移行するのは非常に簡単で簡単ですが、問題があります。MIT Kerberos から AD にパスワード/認証情報を移行するにはどうすればよいでしょうか?
それらの間で何らかの委任が可能であることは理解していますが、これでは問題は解決しないのでしょうか? または、MIT Kerberos KDC に対して AD 認証を行うことはできますか? パスワードは Kerberos のハッシュに保存されるため、クリアテキストで移動することはできません。パスワードを暗号化形式で AD に入力することもできるので、ハッシュが MIT と AD 間で互換性があるかどうか疑問に思います。
これに経験のある方はいらっしゃいますか? すべてのユーザーにパスワードの変更を要求し、すべての認証が共存せずにある場所から別の場所に切り替わるときに大きな手間がかかること以外に、何か提案はありますか。
答え1
しかし、問題があります。MIT Kerberos から AD にパスワード/認証情報を移動するにはどうすればよいでしょうか?
必要ありません。Kerberos ハッシュは暗号化キーと復号化キーとして使用されるため、システム間で同じである必要がありますが、パブリック API のいずれも直接設定できません。AD ではプレーンテキスト パスワードの提供が必須であり、LDAP/KRB5 インストールではそれが忠実に破棄されるため、パスワードの変更を待つか、基本ルールを破って少なくとも一時的にはパスワードを可逆形式で保持する必要があります。ただし、OpenLDAP/Kerberos にパスワード変更を送信するためのミドルウェアがあればの話ですが、そのミドルウェアがあれば、それをインストルメント化できます。
それらの間で何らかの委任が可能であることは理解していますが、これでは問題は解決しないでしょうか? または、MIT Kerberos KDC に対して AD 認証を行うことはできますか?
これは現在検討中のアプローチです。Kerberos を使用して Windows に認証する これは、クロスレルム信頼と呼ばれます。注意すべき重要な点がいくつかあります。すべてのレルムに共通する暗号化タイプを見つけることが重要ですが、通常は AD に依存します。使用している AD のバージョンによって、その日の暗号化が決まることがよくあります。私が見つけたこの設定に関する最良のガイドは、実際には Microsoft から提供されています。Windows Server 2003 向け Kerberos 相互運用性ステップバイステップ ガイド私が遭遇した主な問題は、クロスレルム信頼にどの暗号化タイプを使用するかを指定することでしたが、これはずっと前に書かれた他のガイドでは言及されていませんでした。
答え2
以下のリンクのようなソリューションを検討することをお勧めします。
http://www.centrify.com/solutions/unix-linux-identity-management.asp
移行に関しては、移動中にパスワードを同期するために PCNS のようなシステムを使用できます。しばらくの間、両方のシステムを並行して実行し、移行前に「全員がパスワードをリセットする」日を数日設けて、それらが同期されていることを確認します。PCNS は、あなたが行っていることに対して Kerberos 相互運用よりもはるかに優れたソリューションです。
PCNS (パスワード変更通知サービス) はドメイン コントローラ上で実行され、パスワードを「ターゲット」に転送し、そこでパスワードが設定されます。次のリンクでその方法が説明されています。
http://technet.microsoft.com/en-us/library/bb463208.aspx
新しい AD フォレストを構築する場合は、構築する前にセキュリティ GPO 設定を確認してください。そうすれば、可能な限り安全に開始できます...NTLM バージョン、LDAP 署名などについて説明しています...
答え3
Samba4 と freeipa を使用すると、Windows ワークステーションの認証が可能になります。これらのいずれかを検討しましたか。