Wiki-Bereiche:

Informationstechnik (IT)
Hobbys

Artikel in diesem Bereich:

Sync zwischen OpenLDAP und Active Directory

Notizen aus Vortag von Sébastien Bahloul (LINAGORA) auf dem LinuxTag 2009

Das LSC Projekt

  • LDAP Synchronization Connector
  • BSD Lizenz, geschrieben in Java
  • LDAP Import von Datenbanken, Flatfiles oder anderen LDAPs

  • Schritte zur Erstellung des LDAP-Connectors:
    • Herunterladen des lsc-sample Archivs
    • Mit maven übersetzen (löst automatisch Abhängigkeiten zu benötigten Java Bibliotheken auf)
    • Code-Generierungsassistenz ausführen
    • Konfiguration der Regeln in lsc.properties
  • Es muss SSL (ldaps://) oder TLS (startTLS) verwendet werden, da in einer unverschlüsselten Verbindung zum Active Directory das Passwort nicht verändert werden kann.
  • Das LSC Projekt bietet erweitere LDAP-Funktionen zum Setzen von binären bzw. speziellen Werten im Active Directory wie z.B. das Passwort oder der Kontostatus eines Benutzers (Benutzer gesperrt, Passwort abgelaufen, usw.).
  • Es wurde live die Synchronisation zwischen OpenLDAP und einem Active Directory in einer VM gezeigt. Sowohl die Änderungen im OpenLDAP als auch im Active Directory wurden entsprechend im anderen Verzeichnisdienst übernommen. Außerdem wurde über eine Regel in der lsc.properties das Sperren (Lock) eines Accounts im OpenLDAP nach einem Sync automatisch auch im Active Directory durchgeführt.
  • Soll beim Betrieb von Active Directory und OpenLDAP nur ein Passwort für ein Benutzerkonto verwendet werden, muss mit einem "Trick" gearbeitet werden. Das eigentliche Passwort wird dabei nur im Active Directory gehalten. Im OpenLDAP wird lediglich ein SSL Credentials gespeichert, mit welchem dann auf das Passwort im Active Directory zugegriffen wird.
  • Aktuell muss die Synchronisation per Cronjob regelmäßig angestoßen werden. Eine event-gesteuerte Implementierung ist noch nicht umgesetzt.
  • Getestet und demonstriert wurde es mit Windows Server 2003 SP2. Der Betrieb mit Windows Server 2008 sollte laut des Redners auch ohne große Problem möglich sein.
  • Weitere Informationen und Howtos zur Einrichtung finden sich auf http://lsc-project.org.
  • Nützliches Programm bei der Wartung eines LDAP-Servers: Apache Directory Studio

Stichwörter

linuxtag linuxtag Löschen
ldap ldap Löschen
activedirectory activedirectory Löschen
Geben Sie Stichwörter ein, die dieser Seite hinzugefügt werden sollen:
Please wait 
Sie suchen ein Stichwort? Beginnen Sie einfach zu schreiben.