Sincronizando Bases OpenLDAP e Active Directory
O objetivo do artigo é a centralização da base de usuários, ou seja, por um fim a vários logins e senhas de uma rede com vários serviços autenticados. Abordarei um cenário que replica alterações na base OpenLDAP para o Active Directory.
[ Hits: 55.259 ]
Por: Evandro Nabor em 14/02/2013
Introdução
Todos que trabalham com redes mistas, Windows e GNU/Linux, sabem que sempre há problemas com interoperabilidade entre elas no que diz respeito à base de usuários OpenLDAP, LDAP AD, Active Directory etc, já que algumas soluções trabalham com autenticação padrão, que pode ser tanto o LDAP do AD quanto OpenLDAP, enquanto outras são mais específicas.
Especificamente, abordarei um cenário contendo Active Directory e OpenLDAP.
Veremos como fazer a sincronização das bases para que, quando criarmos um usuário ou grupo, este será criado tanto na base OpenLDAP quanto na base Active Directory, também, posteriores alterações como mudança de grupos, nomes, descrição devem ser sincronizadas entre as bases deixando-as consistentes.
O servidor Active Directory (AD01) pode fazer todos os serviços para a rede Microsoft funcionar com domínio, DNS, PDC etc, ou seja, uma rede Microsoft normal que é muito implementada.
Teremos o servidor OpenLDAP que pode ser utilizado para qualquer aplicação que suporte consultas LDAP, tendo, como exemplo, a mais comum delas: um proxy Squid.
Na prática, com a sincronização de bases, quando criarmos o usuário "evandro.nabor" na base OpenLDAP, o usuário será replicado para o AD01. Existe uma consideração a ser feita a respeito das senhas, pois não é possível ler a senha digitada pelo usuário no OpenLDAP e escrevê-la no Active Directory, mas este assunto será abordado mais a frente.
Sendo assim, após o cenário implementado, teremos a criação de um único usuário com a mesma senha, tanto para domínio quanto para outras aplicações, como o já citado proxy.
Portanto, os usuários a partir de agora, deverão ser criados na base OpenLDAP para serem sincronizados para o AD01.
O software para isso é o LSC, que faz vários tipos de sincronização entre bases LDAP e outras.
Basicamente, ele será encarregado de testar todos os atributos configurados e efetuar a sincronização.
Dados do cenário:
Especificamente, abordarei um cenário contendo Active Directory e OpenLDAP.
Veremos como fazer a sincronização das bases para que, quando criarmos um usuário ou grupo, este será criado tanto na base OpenLDAP quanto na base Active Directory, também, posteriores alterações como mudança de grupos, nomes, descrição devem ser sincronizadas entre as bases deixando-as consistentes.
Estudo de caso
Este é o cenário apresentado:- Um servidor Active Directory Windows 2008 Server (AD01);
- Um servidor OpenLDAP (LX01).
O servidor Active Directory (AD01) pode fazer todos os serviços para a rede Microsoft funcionar com domínio, DNS, PDC etc, ou seja, uma rede Microsoft normal que é muito implementada.
Teremos o servidor OpenLDAP que pode ser utilizado para qualquer aplicação que suporte consultas LDAP, tendo, como exemplo, a mais comum delas: um proxy Squid.
Na prática, com a sincronização de bases, quando criarmos o usuário "evandro.nabor" na base OpenLDAP, o usuário será replicado para o AD01. Existe uma consideração a ser feita a respeito das senhas, pois não é possível ler a senha digitada pelo usuário no OpenLDAP e escrevê-la no Active Directory, mas este assunto será abordado mais a frente.
Sendo assim, após o cenário implementado, teremos a criação de um único usuário com a mesma senha, tanto para domínio quanto para outras aplicações, como o já citado proxy.
Solução
Tratarei a sincronização neste sentido: OpenLDAP → Active DirectoryPortanto, os usuários a partir de agora, deverão ser criados na base OpenLDAP para serem sincronizados para o AD01.
O software para isso é o LSC, que faz vários tipos de sincronização entre bases LDAP e outras.
Basicamente, ele será encarregado de testar todos os atributos configurados e efetuar a sincronização.
Dados do cenário:
- LX01: OpenLDAP e LSC - Debian Squeeze - 172.31.1.28
- AD01: Active Directory - Windows 2008 Server - 172.31.1.99
Páginas do artigo
1. Introdução2. Instalação e configuração
3. Iniciando a sincronização
4. Senhas
Outros artigos deste autor
Bind consultando zonas em base LDAP
Leitura recomendada
My Traceroute (MTR) , uma ferramenta de diagnóstico de rede
Montagem de um cluster com o MOSIX
Autenticação Wireless WPA-WPA2 Pre-Shared-key
Acesso remoto entre GNU/Linux e Windows
Comentários
[1] Comentário enviado por jfernandes em 16/02/2013 - 18:01h
Amigo, parabéns pelo artigo.
Tenho uma questão pra todos ...
Tenho um cliente que tem sua base em LDAP, e por enquanto não quer migrar para o AD da Microsoft, porém, contudo, todavia, ele quer uma solução que vamos instalar ( Xen Desktop ) que precisa do Active Directory da Microsoft para autenticação de seus usuários, não sei se conhecem o Xen Desktop, mas é uma solução de virtualização de estação de trabalho, e necessita de um login no AD.
Pergunta..... com esse seu tutorial, poderei implementar essa solução no cliente ?
Fico no aguardo, e mais uma vez, parabéns pelo artigo.
Joel Fernandes
Amigo, parabéns pelo artigo.
Tenho uma questão pra todos ...
Tenho um cliente que tem sua base em LDAP, e por enquanto não quer migrar para o AD da Microsoft, porém, contudo, todavia, ele quer uma solução que vamos instalar ( Xen Desktop ) que precisa do Active Directory da Microsoft para autenticação de seus usuários, não sei se conhecem o Xen Desktop, mas é uma solução de virtualização de estação de trabalho, e necessita de um login no AD.
Pergunta..... com esse seu tutorial, poderei implementar essa solução no cliente ?
Fico no aguardo, e mais uma vez, parabéns pelo artigo.
Joel Fernandes
[2] Comentário enviado por evandronabor em 17/02/2013 - 09:59h
Com certeza voce poderá usa-lo para isso.
Voce pode subir um servidor AD e seguir o meu artigo que todas as suas contas do OpenLDAP serão replicadas para o AD.
Quando a base estiver replicada é so voce colocar o comando de sincronização no crontab para ser executada quando voce quiser para manter a integridade das bases.
A unica questao que é preciso atençao é com relação as senhas pois como eu havia dito não é possivel sincroniza-las.
De uma boa lida no artigo e porcure mais informações no site do LSC. é possivel sim implementa-lo do jeito que voce precisa sem problemas.
Att.
Com certeza voce poderá usa-lo para isso.
Voce pode subir um servidor AD e seguir o meu artigo que todas as suas contas do OpenLDAP serão replicadas para o AD.
Quando a base estiver replicada é so voce colocar o comando de sincronização no crontab para ser executada quando voce quiser para manter a integridade das bases.
A unica questao que é preciso atençao é com relação as senhas pois como eu havia dito não é possivel sincroniza-las.
De uma boa lida no artigo e porcure mais informações no site do LSC. é possivel sim implementa-lo do jeito que voce precisa sem problemas.
Att.
[3] Comentário enviado por fernandofrauches em 22/02/2013 - 09:41h
Parabéns pelo artigo....
Muito bom...
Estou com um problema aqui na empresa relacionado a seu artigo.
No seu artigo vc faz a sincronização nesse sentido OpenLDAP -> Active Directory, é possivel fazer a sincronização no sentido contrario? OpenLDAP <- Active Directory? Se sim, tem alguma dica de como?
Desde ja obrigado.
Parabéns pelo artigo....
Muito bom...
Estou com um problema aqui na empresa relacionado a seu artigo.
No seu artigo vc faz a sincronização nesse sentido OpenLDAP -> Active Directory, é possivel fazer a sincronização no sentido contrario? OpenLDAP <- Active Directory? Se sim, tem alguma dica de como?
Desde ja obrigado.
[4] Comentário enviado por evandronabor em 22/02/2013 - 09:48h
Sim é possivel fazer. Basicamente voce vai inverter o SRC e o DST, verifique no site do LSC tem muitos exemplos de como fazer lá.
Sim é possivel fazer. Basicamente voce vai inverter o SRC e o DST, verifique no site do LSC tem muitos exemplos de como fazer lá.
[5] Comentário enviado por acunhasp em 26/02/2013 - 14:13h
bom tarde amigo, o meu retorna o seguinte erro:
Error opening the LDAP connection to the destination!
Fev 26 14:05:23 - ERROR - Error while synchronizing ID {uid=edsonb}: java.lang.RuntimeException: java.lang.RuntimeException: Error getting context DN from LDAP provider url
Será que pode me ajudar?
bom tarde amigo, o meu retorna o seguinte erro:
Error opening the LDAP connection to the destination!
Fev 26 14:05:23 - ERROR - Error while synchronizing ID {uid=edsonb}: java.lang.RuntimeException: java.lang.RuntimeException: Error getting context DN from LDAP provider url
Será que pode me ajudar?
[7] Comentário enviado por geowany em 12/03/2014 - 00:51h
[1] Comentário enviado por jfernandes em 16/02/2013 - 18:01h:
Amigo, parabéns pelo artigo.
Tenho uma questão pra todos ...
Tenho um cliente que tem sua base em LDAP, e por enquanto não quer migrar para o AD da Microsoft, porém, contudo, todavia, ele quer uma solução que vamos instalar ( Xen Desktop ) que precisa do Active Directory da Microsoft para autenticação de seus usuários, não sei se conhecem o Xen Desktop, mas é uma solução de virtualização de estação de trabalho, e necessita de um login no AD.
Pergunta..... com esse seu tutorial, poderei implementar essa solução no cliente ?
Fico no aguardo, e mais uma vez, parabéns pelo artigo.
Joel Fernandes
Acredito que instalar o AD não é a melhor solução. Já tentou colocar o samba.schema nesse ldap e adicionar os atributos na contas de usuário para que se tornem samba accounts? Assim fica compatível com os atributos necessários do AD.
[1] Comentário enviado por jfernandes em 16/02/2013 - 18:01h:
Amigo, parabéns pelo artigo.
Tenho uma questão pra todos ...
Tenho um cliente que tem sua base em LDAP, e por enquanto não quer migrar para o AD da Microsoft, porém, contudo, todavia, ele quer uma solução que vamos instalar ( Xen Desktop ) que precisa do Active Directory da Microsoft para autenticação de seus usuários, não sei se conhecem o Xen Desktop, mas é uma solução de virtualização de estação de trabalho, e necessita de um login no AD.
Pergunta..... com esse seu tutorial, poderei implementar essa solução no cliente ?
Fico no aguardo, e mais uma vez, parabéns pelo artigo.
Joel Fernandes
Acredito que instalar o AD não é a melhor solução. Já tentou colocar o samba.schema nesse ldap e adicionar os atributos na contas de usuário para que se tornem samba accounts? Assim fica compatível com os atributos necessários do AD.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Instalar e Configurar o Slackware Linux em 2025
Como configurar os repositórios do apt no Debian 12 em 2025
Passkeys: A Evolução da Autenticação Digital
Instalação de distro Linux em computadores, netbooks, etc, em rede com o Clonezilla
Dicas
Como colorir os logs do terminal com ccze
Instalação Microsoft Edge no Linux Mint 22
Como configurar posicionamento e movimento de janelas no Lubuntu (Openbox) com atalhos de teclado
Máquinas Virtuais com IP estático acessando Internet no Virtualbox
Tópicos
Meus HDs não aparecem mais no boot da placa mãe (18)
Problema de Comunicação Entre Bridges após Configuração de Links no RB... (0)
Instalação de Drive - USB para HDMI Ubuntu (0)
Instalação do Ubuntu 22.04 LTS (6)
Linux Mint com GForce 630 e 2 monitores dos quais só um está na resolu... (6)
Top 10 do mês
-
Xerxes
1° lugar - 69.561 pts -
Fábio Berbert de Paula
2° lugar - 49.054 pts -
Mauricio Ferrari
3° lugar - 15.581 pts -
Buckminster
4° lugar - 14.963 pts -
Diego Mendes Rodrigues
5° lugar - 14.243 pts -
Daniel Lara Souza
6° lugar - 13.733 pts -
Alberto Federman Neto.
7° lugar - 13.040 pts -
Andre (pinduvoz)
8° lugar - 12.569 pts -
edps
9° lugar - 11.971 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 10.895 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
