Soluções para conectar o Solaris/AIX ao Active Directory?

Soluções para conectar o Solaris/AIX ao Active Directory?

Preciso que os sistemas Solaris e AIX obtenham serviços de autenticação e nomes para o AD. Tive algum sucesso com Solarisusando OpenLDAP como proxypara autenticação do usuário. Também configurei com êxito o AIX para usar a autenticação AD Kerberos e os serviços de nomenclatura AD LDAP. No entanto, para ambas as plataformas, tenho dois problemas sérios nos quais preciso de ajuda:

  1. Os usuários/grupos do AD podem estar em letras maiúsculas ou minúsculas, ou qualquer combinação delas, mas para uma experiência consistente do usuário final e utilitários funcionando conforme o esperado no UNIX, eles devem estar em letras minúsculas. Renomear IDs em massa no AD é difícil de vender. O sssd do Linux pode usar letras minúsculas, mas o AIX/Solaris não.
  2. AIX e Solaris esperam um atributo rfc2307 'memberUid' (por exemplo, memberUid=user1) para membros do grupo, enquanto o AD usa o atributo rfc2307bis 'member' (por exemplo, member=cn=user1,dc=foo,dc=com). Existe uma maneira com o OpenLDAP, ou de outra forma, de reescrever memberUid de membro para clientes Solaris/AIX? slapo-rwm pode reescrever DNs, mas transformar assim não parece estar lá.

Responder1

É possível usar o Kerberos para mapear logins do AIX para nomes/domínios do AD.Esta página da IBMé uma boa referência para a configuração do AD e do servidor. Então você apenas faz:

chuser auth_name = ADUSER auth_domain = exemplo.com registro = arquivos KRB5A SYSTEM = login de arquivos KRB5A

(observe que isso é um pouco diferente no AIX7.1, mas funciona bem no 6.1 e 5.3.)

É assim que nos autenticamos no AD em meu local de trabalho e é muito fácil de manter, sem necessidade de conexão LDAP.

Responder2

Dadas as minhas necessidades, a solução que acabamos usando foi o adremap do módulo de contribuição OpenLDAP (overlay), que está em todas as distros de origem do OpenLDAP,veja este link. Contratamos a Symas para desenvolvê-lo e colocá-lo no OpenLDAP upstream. Essa sobreposição colocará nomes de usuário em letras minúsculas e converterá dinamicamente os atributos de membro rfc2307bis em memberUid. Se compilada, uma página de manual fornece a documentação para usá-la: man slapo-adremap.

Eu tenho o OpenLDAP configurado como um proxy para AD usando sobreposição de adremap (minúsculas, conversão de grupo) e rwm ( man slapo-rwm) para mapear atributos LDAP que os clientes LDAP antigos do Solaris/AIX desejam para equivalentes do AD.

Configuração do adremap em uso:

overlay adremap
adremap-downcase uid
adremap-downcase cn
adremap-downcase memberUid
adremap-downcase member
adremap-downcase samaccountname
adremap-dnmap member cn memberUid group posixGroup person dc=example,dc=com

Configuração de sobreposição parcial de rwm:

rwm-map attribute       gecos           displayName
rwm-map attribute       uid             samAccountName
rwm-map attribute       homedirectory   unixHomeDirectory
rwm-map objectclass     posixGroup      group
rwm-map objectclass     posixAccount    user

A configuração do OpenLDAP como proxy é abordada em man slapd-ldape está além do que eu poderia fornecer aqui.

Depois de refletir um pouco sobre esse assunto, descobri que não existe uma solução perfeita, mas esta funciona para nós. Observe que esta solução também funciona bem para clientes LDAP RHEL (pré-EL6) mais antigos, pois eles não conseguem colocar nomes de usuários em letras minúsculas.

informação relacionada