LDAP認証：Windows Server2k3と2k8

私たちには約70％のLinuxユーザーがおり、そのすべてがLDAPを介してActive Directoryに対して認証するように構成されています。これが機能するために、Windows Server 2003で「Windows Services for Unix」を使用しましたが、すべて正常に機能します。

この仕掛けを実行しているサーバーが少し疲れてきて、Windows Server 2008を実行している新しいマシンに置き換えられる段階になりました（ユーザー名のマッピングやパスワードの変更などの関連サービスが統合されています） OS）。

ここに問題があります。Win2k3サーバーを介して新しいユーザーが構成されている場合、すべて正常に動作します。同じことがWin2k8サーバーを介して行われる場合、次のようになります。

1. 2k3サーバー上のADSプラグインはそれを認識せず、UNIX属性が設定されていないかのように動作します。
2. ユーザーはLDAPを使用してADSに対して認証できません。

誰かがこの問題に遭遇しましたか？もしそうなら、これをどのように克服しましたか？

さらにサポートを提供するために追加情報が必要な場合は、お問い合わせください。私が提供します。

LDAP名のマッピングは、Win2K3と2K8の間で変更されました。新しいマッピング（/etc/ldap.confで適用）は次のとおりです。

nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber uidNumber
nss_map_attribute gidNumber gidNumber
nss_map_attribute cn sAMAccountName
nss_map_attribute uniqueMember member
nss_map_attribute userPassword msSFUPassword
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute loginShell loginShell
nss_map_attribute gecos cn
nss_map_objectclass posixGroup Group
nss_map_attribute shadowLastChange pwdLastSet

問題が解決しない場合はお知らせください。古いユーザーも移行する必要があるかもしれません-ldapsearchを使用して、新しいユーザーと古いユーザーを比較します（ただし、覚えているとしたら、両方の属性しか持たないと思います）。

これは通常、ユーザーが探している情報を見つける場所だからです。

上記はすべて非常に有効で真実ですが、今ではAD経由でクライアントを接続するはるかに簡単な方法を見つけました。Debian squeeze（最新の安定版リリース）にはsssd（redhat / fedora環境を起源とするパッケージ）が含まれているため、これはすべて簡単です。インストール時にドメインコントローラーを検出して提案します。構成ファイルで変更を加えるだけで、機能します。Windows Server 2008で完全に正常に動作し、パスワードをキャッシュすることもできます（ラップトップユーザーにとって重要）。