Qual é a maneira mais óbvia de conseguir o seguinte: O site tem uma infraestrutura AD funcional e certas partes da infraestrutura são máquinas GNU/Linux fortemente acopladas, onde as pessoas da UO AD ou=linux-users,dc=example,dc=comdevem ser capazes de fazer logon na parte Linux da infraestrutura usando seus Credenciais AD, mas sem usar o DC na pilha PAM da máquina Linux, ou seja, deve haver algum tipo de sincronização mais aumento com os atributos POSIX (uid,gid,homedir,password) do AD para o slapd. O slapd nas máquinas Linux é OpenLDAP, o esquema do AD é do Windows 2003 sem os atributos POSIX.
Responder1
Conector de sincronização Ldap (LSC)pode ser usado para configurar uma sincronização contínua do AD para um servidor OpenLDAP, enquanto adiciona atributos extras gerados como desejar.
No entanto, isso não permitirá diretamente o uso das credenciais do AD, a menos que você configure o OpenLDAP para encaminhar solicitações BIND para os servidores AD... mas então você depende da disponibilidade da infraestrutura do AD.
Depender das credenciais no AD é difícil, porque você precisa ter as credenciais em texto não criptografado em outro lugar, ou depende do uso do AD para ligações, ou configura a sincronização de senha. ConfiraOpções de sincronização de senha do Active Directory.
Uma opção não descrita nessa página é exportar a lista de senhas com hash de um servidor AD, mas essa é uma operação única, não uma sincronização contínua.
Responder2
Existe algum motivo específico para você não querer os servidores AD na pilha PAM? A melhor solução aqui é adicionar os atributos POSIX/RFC2307 aos seus usuários AD e apontar pam_ldap/nss_ldap (ou nss_ldapd) nos servidores AD.
Se você tiver preocupações de segurança/carga de rede que o impeçam de consultar o AD diretamente, você poderá usar os recursos de proxy/cache do OpenLDAP ou implantar escravos AD limitados para atender os hosts Linux.
Eu desaconselho ter contas "aumentadas" - isso pode ser feito através de alguns hacks bastante sujos, mas na minha experiência é muito frágil para confiar em um ambiente de produção. Ele também quebra o paradigma de "uma fonte autorizada": se AD for seu armazenamento de conta oficial, os atributos POSIX deverão ser adicionados e gerenciados lá.