Windows 2008 AD in LDAP einbinden?

[ava2k3]

Hi,

ich habe hier einen Windows 2008 Server, der ein Active Directory bereistellt (für die Arbeitsplatzrechner).

Schon seit längerer Zeit haben wir einen Linux LDAP Server, der die User / Passwort Verwaltung für ca. 80 Linux Server übernimmt.

Jetzt wäre es natürlich toll, wenn das AD seine User / Passwörter auch mit dem LDAP Server abgleichen könnte.

Nun zur Frage. Geht das? Wenn ja, wie?

Gruß und danke

ava

[flashpixx]

Dir ist bekannt, dass Windows und Linux zwei unterschiedliche Methoden zur Passwortverschlüsselung (Hashing) verwenden?

Eine Sychronisation ist somit nicht direkt möglich. Evtl lässt sich mit Samba so etwas erreichen, so dass das Unixpasswort immer bei Änderung des Windowspasswortes direkt mir synchronisiert wird

Phil

[dr.disk]

Direkt über LDAP geht das nicht. Zum einem sind da die verschiedenen Hashing-Verfahren, zum anderen ist das fehlende Schema seitens ADS für den Unix-LDAP. Samba ist noch nicht so weit, dass es sich vollständig und nahtlos ins ADS integriert.

Möglichkeiten die Du hättest wären meines Erachtens folgende:

1. Samba Domäne starten und ADS abschalten. Dann die Win-Clients gegenüber Samba authentifizieren lassen. Achtung: Das ist nur eine NT4-Domain, kein ADS. Soweit ist Samba, wie schon erwähnt, noch nicht.
   
2. Kerberos. Es ist ohne weiteres möglich Linux-Büchsen per Kerberos z.B. an ADS Rechner authentifizieren zu lassen. Ich meinte, dass man Windows ebenfalls sagen kann wo der Kerberos-Server steht damit der umgekehrte Weg funktioniert. Linux an Windows-Kerberos hab ich schon ein paar mal gemacht, umgekehrt noch nie. Da müsste man evtl. mal einen Kerberos bzw. Windows Guru fragen (wobei es dazu sicherlich reichlich Doku im Internet gibt).