PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Synchronisation Active Directory mit openLDAP-Server



Derryl
20.04.04, 16:05
ich möchte einen openLDAP-Server als zentralen Authentifikationsserver für Linux und Windows einrichten.
Problem ist, dass das Active Directory als Basis für einen Exchange-Server wohl erhalten werden muss. Gibt es eine Möglichkeit das AD mit dem LDAP-Server zu synchronisieren oder ist Exchange in der Lage direkt mit dem LDAP-Server zu kommunizieren bzw. gibt es noch einen anderen Lösungsansatz?

MiMe
21.04.04, 07:19
"Eigentlich" sollte der ADS ldif-konform sein. Daher sollte der
Replikationmechanismus eigentlich funktionieren. slurpd gibt
ja die Änderungen im OpenLDAP als ldif aus.

Da kommt es auf einen Versuch drauf an.

Kannst Du mit slapadd & Co. im ADS Einträge ändern?

MiMe

mamue
21.04.04, 09:40
Mit slapadd würde ich vielleicht besser nicht an das AD herangehen, das ist nicht ldap-konform, sonder eher ein Tool zur Sicherung eines OpenLDAP verzeichnisses. Aber ldapsearch könnte gehen.
Slurp wird nicht gehen, da slurp in der Konfiguraton des Masters eingetragen wird und das geht wohl nur bei OpenLDAP.
Bevor Du überhaupt daran denken kannst zu syncronisieren, brauchst Due erst einmal auf dem OpenLDAP die gleichen Schemata. Es soll möglich sein, an die heranzukommen, aber ich wüsste nicht wie.
Als nächstes müsstest Du versuchen, beim AD einen Backupserver einzutragen und darauf hoffen, dass das Replicationsprotokoll sich an den Standard hält...
Das sieht eher schlecht aus, meine ich.

mamue

MiMe
21.04.04, 11:03
Mit slapadd würde ich vielleicht besser nicht an das AD herangehen, das ist nicht ldap-konform, sonder eher ein Tool zur Sicherung eines OpenLDAP verzeichnisses. Aber ldapsearch könnte gehen.
mamue

Tut mir leid, dass war ein Tippfehler.

ldapadd, ldapmodify usw. war gemeint. Die sind ldap-konform!

Ich möchte aber gerne sehen wie Du mit ldapadd oder slapadd
das LDAP-Verzeichnis sicherst ;)

MiMe

Derryl
21.04.04, 11:40
Danke für Eure Antworten.
Ich habe im Moment in meiner Testumgebung noch keinen Rechner mit einem AD, kann also noch nichts ausprobieren.
Da ich noch nicht sehr viel Erfahrung auf diesen Gebiet habe, geht es mir vor allem darum, ob jemand eine prinzipielle Möglichkeit kennt, an der ich ansetzen könnte. Aber da scheint es ja eher schlecht auszusehen.

Derryl

Hitm@n
21.04.04, 17:32
Hallo Leute,

das mit LDAP und ADS ist nur durch die einrichtung eines Samba/LDAP Server in Verbindung mit Winbind möglich.

Der Grund ist der, Das Microsoft LDAP nicht mit OpenLDAP unter Linux kompatibel ist.

Mit Samba 3.0 ist es möglich sich als vollwertiges Mitglied der Windows Domäne anzumelden. Dabei ist es auch möglich die Servergepeicherten Profile auf dem Samba abzulegen.
Wenn man einem OpenLDAP Server laufen hat, ist es wichtig das man die Sychonisierung mit Samba zum laufen bekommt!

MFG

emba
21.04.04, 21:36
wie du weißt, ist es einfach, dass sich windowsclients an einem samba server gegen ldap authentifizieren können

du möchtest nun das AD replizieren auf ein openldap backend - nicht möglich, wie hier auch schon des öfteren viel

das 2. problem wäre aber dann noch, wenn es denn funktionieren würde, die daten des AD in openldap zu migrieren, welche software du verwenden möchtest, um für die windows clients in einer ADS domäne einen vollwertigen ADS Server hinzustellen - samba kann dies nicht und MS Server schreiben in ihr eigenes LDAP Backend

oder möchtest du von der AD auf Domainsecurity degradieren?

greez

Derryl
07.05.04, 23:11
@emba
Die Frage verstehe ich leider nicht, da meine Kenntnisse auf diesem Gebiet noch zu gering sind.
Aber meine Ausgangsfrage ist jetzt bereits beantwortet, dass eine solche Synchronisierungsmöglichkeit ohne weiteres nicht realisierbar ist.
Vielen Dank für eure Hilfe.

emba
08.05.04, 18:39
oder möchtest du von der AD auf Domainsecurity degradieren?

sollte nur bedeuten, dass du den samba server in dem modus "security = domain" laufen lässt, wo er ein member server in einer ADS domäne sein kann, aber derzeit nicht die fähigkeiten eines ADS überhaupt nachbilden kann

greez

Derryl
08.05.04, 19:15
Nein. Er soll erst einmal als "Stand Alone" laufen, wenn man das so bezeichnen kann. Die Idee mit der Sychronisation haben ich nach euren Beiträgen aufgegeben.