On Mon, 2008-11-10 at 14:42 +0100, Luca Scamoni wrote: > Mauro Sanna wrote: > > Come sempre devo scusarmi per l'ignoranza ma.....nativamente in che > > senso? > > In pratica si tratta di risolvere una problematica che mi stanno creando > > e di cui ne farei volentieri a meno, ma tant'e'....... > > Abbiamo un server LDAP con il suo bell'albero e mille utenze > > configurate. > > A tale server si appoggiano varie applicazioni per l'autenticazione. > > Ora vogliono implementare un dominio....con samba? Macche' con windows. > > I server di dominio windows si appoggiano ad active directory per quel > > poco che ne so. > > L'esigenza e' di tenere aggiornati gli uid e le userPassword. > > Cioe' se un utente cambia la propria password in LDAP questo deve > > replicare su active directory e viceversa. > > > Nativamente vuol dire senza apportare modifiche a openldap. > Dato che openldap e AD sono prodotti diversi da soli tra di loro non si > sincronizzano. > Detto questo e' possibile raggiungere un certo grado di sincronizzazione > tra i due. > Innanzitutto il provisioning delle utenze deve partire da un unico punto > (esterno ad entrambi) e raggiungere i due DSA direttamente.
Questo non e' necessario, uno dei due puo' tranquillamente fare da master senza necessariamente prevedere un terzo incomodo. > Responsabilita' del sistema di provisioning e' far si' che le utenze sia > create/modificate/cancellate/disattivate/ecc. su entrambi i sistemi > contemporaneamente. Oppure piu' semplicemente uno dei due sistemi e' considerato primario e l'altro "segue" le modifiche. > Secondariamente e' possibile fare in modo che le password si mantengano > sincronizzate attraverso i servizi microsoft per unix che mettono a > disposizione un daemon per unix/linux in grado di intercettare i cambi > password fatti su dominio e propagare le modifiche ai file passwd/shadow > e viceversa > puoi cercare su internet riferimenti a ssod (il nome del daemon) > ciao > configurando correttamente questo daemon e il PAM e' possibile ottenere > quello che cerchi SSOD funziona solo per inviare le password di specifici utenti AD ad utenti unix di una macchina, puo' essere che il caso voglia che tutti gli utenti openLdap siano anche utenti Linux/Unix altrimenti sara' necessario configurare il sistema in modo che lo sia e verificare che ssod possa usare pam_ldap per effettuare un cambio password (sempre che ssod utilizzi pam enon scriva direttamente un hash in /etc/passwd). Ci sono altri sistemi per catturare le password sul lato AD eventualmente. Questo tool credo possa essere usato con qualsiasi server ldap dall'altro lato per esempio: http://directory.fedoraproject.org/wiki/Howto:WindowsSync#Configuring_PassSync Simo.
_______________________________________________ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
