LINUX.ORG.RU
ФорумAdmin

Частичная односторонняя репликация LDAP-каталога с Active Directory

 ,


0

2

Привет, ЛОР.

Есть офисный Active Directory. Есть линуксовая виртуалка в инете, на которую хочется навесить вебню, которая могла бы аутентифицировать пользователей в офисном AD. Офис временами может отваливаться от интернета, поэтому хочется аутентифицировать приходящих на виртуалку извне пользователей без постоянного обращения внутрь офиса.

То есть, мне было бы достаточно частичной односторонней репликации каталога из офиса на виртуалку.

Хочется историй успеха про 389ds, или, может быть, кто-то знает способы попроще/поудобнее. Может, кто-нибудь городил свои костыли через обмен LDIF'ами или еще как-то.

★★★★★

OpenLDAP в качестве прокси? Возможно что он даже что-то и кешировать уммеет. Во всяком случае это проще чем пердолиться с частичной репликацией.

Или еще более простой вариант — задействовать sssd и настроить веб-морду для работы через него.

trancefer ★★ ()
Ответ на: комментарий от trancefer

Кэш все-таки не решает задачу, его нельзя уведомить о том, что где-то в офисе завелся новый юзер или сменился чей-то пароль. Кроме того, в момент, когда юзер лезет на вебню, а офис недоступен, кэш вполне может оказаться протухшим.
А какой именно сценарий работы SSSD предлагается?

thesis ★★★★★ ()

Добавляешь samba4 в качестве еще одного контроллера домена и в случае отсутствия основного - авторизуешь по ней. Не?

zgen ★★★★★ ()

Насколько я в курсе, AD может отдавать пароли только в захешированном виде. Соответственно, чтобы аутентификация работала, нужен ldap-сервер с поддержкой AD'шного метода хэширования (а он надмозговый).

Для клонирования учёток можно использовать lsc.

Но вариант с репликой на самбе4 мне кажется более логичным.

Ivan_qrt ★★★★★ ()
Ответ на: комментарий от zgen

А можно по подробнее, что он не может проксировать? У меня проксируются пользователи из AD, проблем не замечал.

Ivan_qrt ★★★★★ ()
Ответ на: комментарий от Ivan_qrt

неавторизованные запросы для проверки параментров подключения и запроса технических записей AD невозможно проксировать.

zgen ★★★★★ ()
Ответ на: комментарий от DALDON

Я неправильно выразился, его и в шестой шляпе не было (насчет более ранних не знаю). Нужно было брать сернетовские пакеты, а сернет послал всех в жопу и новые (после 4.2) самбы задаром не раздает.
Судя по текстовику, из которого целиком состоит пакет samba-dc, дело в том, что они ниасилили нормально завести самбовый контроллер с MIT Kerberos.

thesis ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.