我目前正在運行帶有 Active Directory 的 Windows 伺服器。但由於我們不再使用 Exchange 2007,它變成了具有身份驗證功能的精美檔案伺服器。
我想將 AD 移至 Linux 伺服器。最好的方法是什麼?我應該使用哪個 LDAP 伺服器?
更新不會剩下任何 Windows 用戶端。它們將更新為 Edubuntu。
答案1
Samba v.3 能夠成為 NT4 風格的網域控制器。如果您有一個為 Exchange 運行的 AD 伺服器,那還不夠好。
桑巴 v.4將要能夠成為Windows 2003風格的網域控制器,但還沒完成。到目前為止還沒有。
下一個問題是:您還有 Windows 用戶端嗎?如果是這樣,你就有問題了。 Windows 不像 Linux 那樣可插拔。雖然可以更改某個 dll 檔案(我忘記了名稱)以針對通用 KDC 進行身份驗證,但 Windows 是為與 AD 一起使用以及單獨與 AD 一起使用而構建的。其他任何事情都需要更改 Windows 系統 dll。太糟糕了。
如果您沒有任何 Windows 用戶端,那麼事情就會變得容易得多。您可以輕鬆地使用組合的 Kerberos / LDAP 解決方案取代 Windows AD。 Kerberos kdc(金鑰分發中心)軟體包位於所有發行版中。 LDAP 伺服器有多種不同的形式。大多數發行版中都有 OpenLDAP 伺服器。許多開源 LDAP 伺服器都提供了基於 GUI 的 LDAP 目錄管理工具,例如 389,我認為 Apache DS 也是如此。
我提到了自由IPA在這個上下文中的專案作為整合解決方案在另一個線程中,但它僅適用於 Linux。
那麼,長話短說:您的網路上還有 Windows 用戶端嗎?
編輯:顯然不是。因此,為自己建造一個 KDC,取得 389 DS 的副本,然後就可以開始了。然後,您必須執行一些 LDAP 腳本來從網域控制站中提取使用者資訊並將其插入到 LDAP 伺服器中。不過,我認為您無法遷移用戶的密碼,您可能必須重設這些密碼。
答案2
因為您將從基於 Windows 的基礎架構遷移到基於 Linux 的基礎架構。我認為除了設定新的 LDAP 伺服器之外,您還需要遷移使用者帳戶資訊。如果是這種情況,也許您可以使用 Windows AD Server 中的 LDIFDE 工具匯出所需的資訊。之後,您可以將該資訊匯入到新目錄中。