Ich betreibe derzeit einen Windows-Server mit Active Directory. Da wir aber Exchange 2007 nicht mehr verwenden, wurde daraus ein schicker Dateiserver mit Authentifizierung.
Ich möchte das AD auf einen Linux-Server verschieben. Wie gehe ich am besten vor? Und welchen LDAP-Server soll ich verwenden?
AktualisierenEs wird keine Windows-Clients mehr geben. Sie werden auf Edubuntu aktualisiert.
Antwort1
Samba v.3 kann ein Domänencontroller im NT4-Stil sein. Wenn Sie einen AD-Server für Exchange laufen haben, ist das nicht gut genug.
Samba v.4Willeein Domänencontroller im Windows 2003-Stil sein können, aber das ist noch nicht fertig. Bei weitem nicht.
Die nächste Frage wäre: Haben Sie noch Windows-Clients? Wenn ja, haben Sie ein Problem. Windows ist nicht so steckbar wie Linux. Es ist zwar möglich, eine bestimmte DLL-Datei (ich habe den Namen vergessen) zu ändern, um eine Authentifizierung gegenüber einem generischen KDC durchzuführen, aber Windows wurde so entwickelt, dass es mit AD und nur mit AD funktioniert. Für alles andere müssen Windows-System-DLLs geändert werden. Das ist Mist.
Wenn Sie keine Windows-Clients mehr haben, wird es viel einfacher. Sie können Windows AD problemlos durch eine kombinierte Kerberos-/LDAP-Lösung ersetzen. Kerberos-KDC-Pakete (Key Distribution Center) sind in allen Distributionen enthalten. LDAP-Server sind in vielen verschiedenen Formen verfügbar. OpenLDAP-Server sind in den meisten Distributionen enthalten. Ein GUI-basiertes Verwaltungstool für Ihr LDAP-Verzeichnis ist bei vielen Open-Source-LDAP-Servern verfügbar, wie 389 und ich glaube auch Apache DS.
Ich erwähnte dieKostenloseIPAProjekt in diesem Zusammenhang in einem anderen Thread als integrierte Lösung, allerdings nur für Linux.
Um es kurz zu machen: Haben Sie noch Windows-Clients in Ihrem Netzwerk?
Bearbeiten: Offensichtlich nicht. Bauen Sie sich also ein KDC, holen Sie sich eine Kopie von 389 DS und schon kann es losgehen. Dann müssen Sie einige LDAP-Skripte ausführen, um Benutzerinformationen vom Domänencontroller abzurufen und in Ihren LDAP-Server einzufügen. Ich glaube allerdings nicht, dass Sie die Passwörter der Benutzer migrieren können, Sie müssen diese wahrscheinlich zurücksetzen.
Antwort2
Da Sie von einer Windows-basierten Infrastruktur zu einer Linux-basierten migrieren, müssen Sie meiner Meinung nach zusätzlich zur Einrichtung der neuen LDAP-Server auch die Benutzerkontoinformationen migrieren. In diesem Fall könnten Sie möglicherweise das LDIFDE-Tool vom Windows AD-Server verwenden, um die erforderlichen Informationen zu exportieren. Anschließend importieren Sie diese Informationen in das neue Verzeichnis.