it-swarm-es.com

¿Puede Windows integrarse con LDAP?

Dado un servidor LDAP existente utilizado para la autenticación, ¿pueden los escritorios de Windows autenticar a los usuarios con LDAP o quizás con Kerberos?

8
jldugger

Una vez probé esto con éxito con pGina , pero no es muy fácil de configurar.

También puede usar un servidor SAMBA que actúa como proveedor de Active Directory, con un backend LDAP, pero aún no lo he probado. Estos son los dos pasos básicos que debe seguir:

SAMBA como PDC

La configuración básica es la siguiente:

 [global] 
 passdb backend = tdbsam 
 nivel de sistema operativo = 33 
 maestro preferido = auto 
 dominio maestro = sí 
 local maestro = sí 
 seguridad = usuario 
 inicios de sesión de dominio = sí 
 ruta de inicio de sesión = \\% N\perfiles \% U 
 unidad de inicio de sesión = H: 
 inicio de sesión inicio = \\ servidor doméstico \% U\winprofile 
 script de inicio de sesión = logon.cmd 
 
 [netlogon] 
 ruta =/var/lib/samba /netlogon
read only = yes 
 
 [profiles] 
 path = /var/lib/samba/profiles
read only = no 
 crear máscara = 0600 
 máscara de directorio = 0700 

Más información sobre SAMBA docs .

[~ # ~] ldap [~ # ~]

Configurar correctamente un servidor LDAP no es algo trivial (ni el servidor SAMBA en mi humilde opinión), pero después de configurar uno ( OpenLDAP , FDS , etc.), aquí hay buena información sobre cómo integrarlo con SAMBA . Y más específico para RedHat .

También escuché que SAMBA 4 será un reemplazo completo de Active Directory, pero quién sabe cuándo se lanzará.

De todos modos, no sé si esto se ha vuelto más fácil que cuando lo probé (hace unos 2 años), pero espero que sí, porque me di por vencido después de unas semanas de prueba ... Tal vez sea el momento de intentarlo de nuevo. .

En aquel entonces, mi preferencia personal era FDS porque tiene una gran consola de administración y era más fácil de configurar.

Editar : Acabo de recordar eBox . No lo he probado porque no me gustan las soluciones todo en uno, pero eche un vistazo al sitio si lo hace (ofrece mucho más que un controlador de dominio).

9
Ivan

No sin un proveedor de inicio de sesión personalizado (reemplazo de msgina) ...

La mejor opción es configurar un controlador de dominio de Windows para que los clientes de Windows inicien sesión (le permitirá utilizar políticas de grupo y otras cosas útiles) y sincronizarlo con su servicio LDAP existente (consulte Servicios para Unix). O use samba y haga que use su directorio LDAP para la autenticación.

2
Oskar Duveborn
1
Randolpho