Частичная односторонняя репликация LDAP-каталога с Active Directory

0

2

Привет, ЛОР.

Есть офисный Active Directory. Есть линуксовая виртуалка в инете, на которую хочется навесить вебню, которая могла бы аутентифицировать пользователей в офисном AD. Офис временами может отваливаться от интернета, поэтому хочется аутентифицировать приходящих на виртуалку извне пользователей без постоянного обращения внутрь офиса.

То есть, мне было бы достаточно частичной односторонней репликации каталога из офиса на виртуалку.

Хочется историй успеха про 389ds, или, может быть, кто-то знает способы попроще/поудобнее. Может, кто-нибудь городил свои костыли через обмен LDIF'ами или еще как-то.

Ссылка

←	Проблема с nginx https

лучшая сетевая ФС между двумя линуксами \ линуксом и макосью?

→

OpenLDAP в качестве прокси? Возможно что он даже что-то и кешировать уммеет. Во всяком случае это проще чем пердолиться с частичной репликацией.

Или еще более простой вариант — задействовать sssd и настроить веб-морду для работы через него.

trancefer ★★
(25.01.17 13:40:53 MSK)

Ответ на: комментарий от trancefer 25.01.17 13:40:53 MSK

Кэш все-таки не решает задачу, его нельзя уведомить о том, что где-то в офисе завелся новый юзер или сменился чей-то пароль. Кроме того, в момент, когда юзер лезет на вебню, а офис недоступен, кэш вполне может оказаться протухшим.
А какой именно сценарий работы SSSD предлагается?

thesis ★★★★★
(25.01.17 14:17:29 MSK) автор топика

Ссылка

Добавляешь samba4 в качестве еще одного контроллера домена и в случае отсутствия основного - авторизуешь по ней. Не?

~~zgen~~ ★★★★★
(25.01.17 14:31:41 MSK)

Ответ на: комментарий от trancefer 25.01.17 13:40:53 MSK

OpenLDAP в качестве прокси?

Он не все записи может проксировать из-за особенностей реализации.

~~zgen~~ ★★★★★
(25.01.17 14:32:26 MSK)
Последнее исправление: zgen 25.01.17 14:32:44 MSK (всего исправлений: 1)

Насколько я в курсе, AD может отдавать пароли только в захешированном виде. Соответственно, чтобы аутентификация работала, нужен ldap-сервер с поддержкой AD'шного метода хэширования (а он надмозговый).

Для клонирования учёток можно использовать lsc.

Но вариант с репликой на самбе4 мне кажется более логичным.

Ivan_qrt ★★★★★
(25.01.17 14:42:07 MSK)

Ссылка

Ответ на: комментарий от zgen 25.01.17 14:32:26 MSK

А можно по подробнее, что он не может проксировать? У меня проксируются пользователи из AD, проблем не замечал.

Ivan_qrt ★★★★★
(25.01.17 14:44:22 MSK)

Ответ на: комментарий от zgen 25.01.17 14:31:41 MSK

Это, конечно, безотказно, но как-то очень уж жирно.

thesis ★★★★★
(25.01.17 15:05:20 MSK) автор топика

Ответ на: комментарий от Ivan_qrt 25.01.17 14:44:22 MSK

неавторизованные запросы для проверки параментров подключения и запроса технических записей AD невозможно проксировать.

~~zgen~~ ★★★★★
(25.01.17 15:43:19 MSK)

Ссылка

Ответ на: комментарий от thesis 25.01.17 15:05:20 MSK

а 389ds или openldap не жирно? OK. Your task your rules.

~~zgen~~ ★★★★★
(25.01.17 15:51:57 MSK)

Ответ на: комментарий от zgen 25.01.17 15:51:57 MSK

Да все жирное, только samba-dc еще и выкинули из седьмой шляпы.

thesis ★★★★★
(25.01.17 16:30:53 MSK) автор топика

Ответ на: комментарий от thesis 25.01.17 16:30:53 MSK

Да все жирное, только samba-dc еще и выкинули из седьмой шляпы.

Почему?

DALDON ★★★★★
(25.01.17 23:57:27 MSK)

Ответ на: комментарий от DALDON 25.01.17 23:57:27 MSK

Я неправильно выразился, его и в шестой шляпе не было (насчет более ранних не знаю). Нужно было брать сернетовские пакеты, а сернет послал всех в жопу и новые (после 4.2) самбы задаром не раздает.
Судя по текстовику, из которого целиком состоит пакет samba-dc, дело в том, что они ниасилили нормально завести самбовый контроллер с MIT Kerberos.

thesis ★★★★★
(26.01.17 00:15:38 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Проблема с nginx https

Admin

лучшая сетевая ФС между двумя линуксами \ линуксом и макосью?

→

Похожие темы