Necesito que los sistemas Solaris y AIX obtengan servicios de autenticación y nombres para AD. He tenido cierto éxito con Solaris.usando OpenLDAP como proxypara la autenticación de usuarios. También configuré exitosamente AIX para usar la autenticación AD Kerberos y los servicios de nombres AD LDAP. Sin embargo, para ambas plataformas, tengo dos problemas graves sobre los que necesito ayuda:
- Los usuarios/grupos de AD pueden estar en mayúsculas o minúsculas, o cualquier combinación de las mismas, pero para que la experiencia del usuario final sea consistente y las utilidades funcionen como se espera en UNIX, deben estar en minúsculas. Cambiar el nombre de las identificaciones en masa en AD es difícil de vender. Linux sssd puede utilizar minúsculas, pero AIX/Solaris no.
- AIX y Solaris esperan un atributo 'memberUid' rfc2307 (por ejemplo, memberUid=user1) para los miembros del grupo, mientras que AD usa el atributo 'member' rfc2307bis (por ejemplo, member=cn=user1,dc=foo,dc=com). ¿Hay alguna manera con OpenLDAP, o de otro modo, de reescribir memberUid desde member para clientes Solaris/AIX? slapo-rwm puede reescribir DN, pero transformarse de esta manera no parece estar ahí.
Respuesta1
Puede utilizar Kerberos para asignar inicios de sesión de AIX a nombres/dominios de AD.Esta página de IBMes una buena referencia para AD y la configuración del servidor. Entonces simplemente haz:
chuser auth_name=ADUSER auth_domain=example.com registro=KRB5Afiles SISTEMA=KRB5Afiles iniciar sesión
(tenga en cuenta que esto es un poco diferente en AIX7.1 pero funciona bien en 6.1 y 5.3).
Así es como nos autenticamos en AD en mi lugar de trabajo, y es bastante fácil de mantener, no se necesita conexión LDAP.
Respuesta2
Dados mis requisitos, la solución que terminamos usando fue el módulo de contribución OpenLDAP (superposición) adremap, que se encuentra en todas las distribuciones fuente de OpenLDAP.ver este enlace. Contratamos a Symas para que lo desarrollara y lo pusiera en OpenLDAP ascendente. Esta superposición pondrá los nombres de usuario en minúsculas y convertirá dinámicamente los atributos de los miembros rfc2307bis a memberUid. Si se compila, una página de manual proporciona la documentación para usarla: man slapo-adremap.
Tengo OpenLDAP configurado como proxy para AD usando la superposición de adremap (minúsculas, conversión de grupo) y rwm ( man slapo-rwm) para asignar los atributos LDAP que los antiguos clientes LDAP de Solaris/AIX desean con equivalentes de AD.
Configuración de adremap en uso:
overlay adremap
adremap-downcase uid
adremap-downcase cn
adremap-downcase memberUid
adremap-downcase member
adremap-downcase samaccountname
adremap-dnmap member cn memberUid group posixGroup person dc=example,dc=com
Configuración de superposición parcial de rwm:
rwm-map attribute gecos displayName
rwm-map attribute uid samAccountName
rwm-map attribute homedirectory unixHomeDirectory
rwm-map objectclass posixGroup group
rwm-map objectclass posixAccount user
La configuración de OpenLDAP como proxy se trata en man slapd-ldapy va más allá de lo que podría proporcionar aquí.
Después de analizar este problema por un tiempo, descubrí que no existe una solución perfecta, pero esta funciona para nosotros. Tenga en cuenta que esta solución también funciona bien para clientes LDAP RHEL (pre-EL6) más antiguos, ya que no pueden escribir nombres de usuario en minúsculas.