我一直在谷歌上挖洞,找出在AD和OpenLDAP之间同步用户数据库的最佳方法.我想要实现的是,在AD中拥有用户数据库,然后将这些用户传播到OpenLDAP,这样这些用户就可以访问我的所有应用程序(电子邮件,VPN,文件服务器,打印服务器几乎所有的开源应用程序).我想在数据库上创建一个单一登录,这样所有用户都可以拥有基于
Windows和
Linux的应用程序的相同密码.我还想确保密码双向更新.如果有人能分享他如何做到这一点的经验,我将不胜感激.
谢谢!!
解决方法
我为一个项目做了一次 – 祝你好运!
您是否具有AD服务器的管理权限?你可能需要它.与你的AD管理员交朋友:-)
你能详细说明一下你的项目是什么吗?
问题是,您是否只需要您的用户/应用程序对ActiveDirectory或LDAP进行身份验证,
或者如果您需要应用程序访问存储在ActiveDirectory中的数据,并且可能会增加或修改条目..
如果您只需要进行身份验证,那么正如Justin所指出的那样,ActiveDirectory服务器上的匿名或密码保护(没有多少额外值IMHO)绑定帐户就是您所需要的.与您的ActiveDirectory管理员联系.
如果您想使用ActiveDirectory的内容作为您自己的用户记录的基础,并可能增加或修改数据,您可能需要设置自己的LDAP服务器(因为您的IT部门可能不会因为您的想法而感到激动修改“他们的”记录…)
ActiveDirectory看起来像LDAP并且类似,但主要在模式中存在差异.
你会遇到几个问题:
> AD模式和属性与LDAP标准有很大不同
>特别是,根据我的理解,AD模式有些预先定义和修复,因为所有Micro $oft应用程序都需要某个模式…
>默认情况下,可能没有为AD设置匿名访问,因为它适用于LDAP
(这使得在命令行上执行LDAP查询以进行测试很困难)
您可能想要让您的AD管理员为您设置一个
>访问AD的经过身份验证的用户可能无权查看所有AD记录和/或架构
>我记得我在AD中发现了大量不一致的记录,例如:错误的组织结构,人们记录了机器,设备,软件的记录 – 呃!!并且人们记录遍布模式(并不是像在LDAP模式中所期望的那样只在一个子树中的所有人员记录)
> ……待完成……
如果您只需要人员或应用程序对目录进行身份验证,那么可能不值得通过所有这些问题 – 最好直接通过绑定帐户使用AD.
使用openldap命令行工具尝试在UNIX命令行上对ActiveDirectory进行身份验证.这将帮助您了解流程和返回的数据.
让我看看我的旧项目说明,我会更新这个
我希望这可以帮助你
要对OpenLDAP进行身份验证,您需要知道组织的“专有名称”(dn)的值,
“组织单位”(ou),认证人的“俗名”(cn)等.但我不能在这里给你一个完整的介绍……
最好在这里阅读OpenLDAP的文档:
http://www.openldap.org/doc/admin24/
最好在命令行上运行“ldapsearch”来尝试并验证您是否可以绑定/访问LDAP.
http://www.openldap.org/software/man.cgi?query=ldapsearch&apropos=0&sektion=0&manpath=OpenLDAP+2.0-Release&format=html
或者在IBM站点:
http://publib.boulder.ibm.com/infocenter/iseries/v5r3/index.jsp?topic=%2Frzahy%2Frzahyunderdn.htm