Was ist der naheliegendste Weg, um Folgendes zu erreichen: Die Site verfügt über eine funktionierende AD-Infrastruktur und bestimmte Teile der Infrastruktur sind eng gekoppelte GNU/Linux-Maschinen, bei denen sich Personen aus der AD-OU mit ou=linux-users,dc=example,dc=comihren AD-Anmeldeinformationen beim Linux-Teil der Infrastruktur anmelden können sollten, ohne jedoch den DC im PAM-Stack der Linux-Maschine zu verwenden, d. h. es sollte eine Art Synchronisierung plus Erweiterung mit den POSIX-Attributen (uid, gid, homedir, password) von AD zu slapd geben. Das slapd auf den Linux-Maschinen ist OpenLDAP, das Schema des AD stammt von Windows 2003 ohne die POSIX-Attribute.
Antwort1
LDAP-Synchronisierungs-Connector (LSC)kann verwendet werden, um eine kontinuierliche Synchronisierung von AD mit einem OpenLDAP-Server einzurichten und gleichzeitig nach Belieben zusätzliche generierte Attribute hinzuzufügen.
Allerdings können die Anmeldeinformationen des AD dadurch nicht direkt verwendet werden, es sei denn, Sie richten OpenLDAP so ein, dass BIND-Anfragen an die AD-Server weitergeleitet werden. Dann sind Sie jedoch auf die Verfügbarkeit der AD-Infrastruktur angewiesen.
Sich auf die Anmeldeinformationen in AD zu verlassen, ist schwierig, da Sie die Anmeldeinformationen entweder an anderer Stelle im Klartext haben müssen oder darauf angewiesen sind, AD für Bindungen zu verwenden oder die Kennwortsynchronisierung einzurichten. Schauen Sie sich anOptionen zur Kennwortsynchronisierung im Active Directory.
Eine Option, die auf dieser Seite nicht beschrieben wird, ist das Exportieren der Liste der gehashten Passwörter von einem AD-Server. Dabei handelt es sich jedoch um einen einmaligen Vorgang und nicht um eine kontinuierliche Synchronisierung.
Antwort2
Gibt es einen bestimmten Grund, warum Sie die AD-Server nicht im PAM-Stack haben möchten? Die beste Lösung besteht hier darin, Ihren AD-Benutzern die POSIX/RFC2307-Attribute hinzuzufügen und pam_ldap/nss_ldap (oder nss_ldapd) auf die AD-Server zu richten.
Wenn Sie Bedenken hinsichtlich der Netzwerksicherheit/-auslastung haben und AD deshalb nicht direkt abfragen können, können Sie die Proxy-/Cache-Funktionen von OpenLDAP verwenden oder begrenzte AD-Slaves bereitstellen, um die Linux-Hosts zu bedienen.
Ich würde von „erweiterten“ Konten abraten – das kann man mit ziemlich schmutzigen Hacks erreichen, aber meiner Erfahrung nach ist es zu fragil, um in einer Produktionsumgebung darauf zu vertrauen. Es bricht auch das Paradigma der „einen autoritativen Quelle“: Wenn AD Ihr autoritativer Kontospeicher ist, sollten die POSIX-Attribute dort hinzugefügt und verwaltet werden.