¿Cuál es la forma más obvia de lograr lo siguiente? El sitio tiene una infraestructura AD funcional y ciertas partes de la infraestructura están estrechamente acopladas con máquinas GNU/Linux donde las personas de la unidad organizativa AD ou=linux-users,dc=example,dc=comdeberían poder iniciar sesión en la parte Linux de la infraestructura usando su Credenciales de AD pero sin usar el DC en la pila PAM de la máquina Linux, es decir, debería haber algún tipo de sincronización más aumento con los atributos POSIX (uid,gid,homedir,contraseña) de AD a slapd. El slapd en las máquinas Linux es OpenLDAP, el esquema del AD es de Windows 2003 sin los atributos POSIX.
Respuesta1
Conector de sincronización Ldap (LSC)se puede utilizar para configurar una sincronización continua desde AD a un servidor OpenLDAP, mientras agrega atributos adicionales generados como desee.
Sin embargo, esto no permitirá directamente el uso de las credenciales de AD, a menos que configure OpenLDAP para reenviar solicitudes BIND a los servidores de AD... pero entonces dependerá de que la infraestructura de AD esté disponible.
Confiar en las credenciales en AD es difícil, porque necesita tener las credenciales en texto sin cifrar en otro lugar, o depender del uso de AD para enlaces o configurar la sincronización de contraseñas. VerificarOpciones de sincronización de contraseñas de Active Directory.
Una opción que no se describe en esa página es exportar la lista de contraseñas hash desde un servidor AD, pero es una operación de una sola vez, no una sincronización continua.
Respuesta2
¿Existe alguna razón particular por la que no desea que los servidores AD estén en la pila PAM? La mejor solución aquí es agregar los atributos POSIX/RFC2307 a sus usuarios de AD y apuntar pam_ldap/nss_ldap (o nss_ldapd) a los servidores de AD.
Si tiene problemas de seguridad/carga de red que le impiden consultar AD directamente, puede usar las capacidades de proxy/caché de OpenLDAP o implementar esclavos AD limitados para dar servicio a los hosts Linux.
Yo desaconsejaría tener cuentas "aumentadas": se puede hacer mediante algunos trucos bastante sucios, pero en mi experiencia es demasiado frágil para confiar en un entorno de producción. También rompe el paradigma de "una fuente autorizada": si AD es su cuenta autorizada, los atributos POSIX deben agregarse y administrarse allí.