Как связать windows AD и linux OpenLdap?

Question

[Дмитрий Айткулов]

Добрый день! Встала задача в следующем: имеется бд openldap(OS centos 7) с кучей записей, телефонной книгой и прочими полезными вещами. Используем для авторизации на различные сервисы компании. Поставили задачу сделать контролер домена на windows 2012R2 и подключить туда имеющуюся бд openldap. Собственно подключится к openldap для просмотра я смог через инструмент ADSI. Собственно вопрос как можно реализовать данную интеграцию? Чтобы контролер домена читал-писал записи в openldap?

Comments

[none none]

Не буду писать как совет, поскольку сильно не уверен. Но думается такое не возможно. Правильнее перенести все даныые из LDAP в AD и использовать его как центр авторизации.

Answer 1

[SergeySL]

На контроллере свой LDAP-сервер, достаточно культурно настроить права доступа и читать данные с него. Какова функция OpenLDAP в этой связке? И что Вы хотите писать на контроллер?

Comments

[Дмитрий Айткулов]

достаточно культурно настроить права доступа и читать данные с него
вот это я и не знаю как настроить. Просто как я понимаю при развертывании AD в роли контролера у него создается своя база лдап. Вот в качестве этой базы хотелось бы использовать openldap или как то это реплицировать в режиме мастер-мастер
Хотелось бы писать и туда и туда. AD использовать для виндовых клиентов в локалке а данные из openldap интегрировать с различными сервисами: owncloud, dovecot, http авторизация. имхо openldap удобнее для этих целей и схемы есть

[SergeySL]

Дмитрий Айткулов: вот пример инструкции по настройке OpenLDAP как прокладки между AD и Linux/Unix-клиентами - www.osp.ru/winitpro/2008/07/5670760 , но я все равно не понял, что Вы собираетесь писать в базу LDAP AD, и почему не подключить dovecot и т.д. к LDAP-серверу AD. Что даст дополнительное звено в виде OpenLDAP?

[CityCat4]

Дмитрий Айткулов: Не получится. Там, конечно внутри AD LDAP, но он там настолько внутри, что подсунуть ему коннектор к внешнему сервису никак не получится, тем более что на sssd интеграция с AD делается не то, что на раз - а на пол-раза.

Answer 2

[res2001]

Перенесите информацию из OpenLDAP в AD, как советовал Петр Иванов

Answer 3

[CityCat4]

Ничего не получится. Да, AD - это LDAP. На нем работают все инструменты LDAP, ldapsearch например. Но это хитровывернутый LDAP, не совместимый ни с чем, кроме самого себя. Читать данные с OpenLDAP он, может быть еще как-то будет. Писать он туда не сможет, потому что ожидает там AD, а там не AD. Единственный способ сохранить данные - мигрировать их в AD. Или там у Вас какая-то сильно нестандартная схема?

Comments

[Дмитрий Айткулов]

вроде стандартная, есть правда несколько стороних схем: freeradius, postfixbook, asterisk

[Дмитрий Айткулов]

Единственный способ сохранить данные - мигрировать их в AD.
а есть примеры в реализации?

[CityCat4]

Дмитрий Айткулов: Хм. И они все используются? В смысле есть и писатели в поля, предоставляемые данными схемами и читатели этих полей?

[Дмитрий Айткулов]

asterisk может писать в лдап а можно и не давать такую возможность. Максимум что пишут пока это при смене паролей пользователями.

[CityCat4]

Дмитрий Айткулов: Не, я хотел узнать - зачем нужны эти расширения. У AD громадная схема, там сотни полей, в оснастке показано далеко не все...