Sincronizando Bases OpenLDAP e Active Directory
O objetivo do artigo é a centralização da base de usuários, ou seja, por um fim a vários logins e senhas de uma rede com vários serviços autenticados. Abordarei um cenário que replica alterações na base OpenLDAP para o Active Directory.
Introdução
Todos que trabalham com redes mistas, Windows e GNU/Linux, sabem que sempre há problemas com interoperabilidade entre elas no que diz respeito à base de usuários OpenLDAP, LDAP AD, Active Directory etc, já que algumas soluções trabalham com autenticação padrão, que pode ser tanto o LDAP do AD quanto OpenLDAP, enquanto outras são mais específicas.
Especificamente, abordarei um cenário contendo Active Directory e OpenLDAP.
Veremos como fazer a sincronização das bases para que, quando criarmos um usuário ou grupo, este será criado tanto na base OpenLDAP quanto na base Active Directory, também, posteriores alterações como mudança de grupos, nomes, descrição devem ser sincronizadas entre as bases deixando-as consistentes.
O servidor Active Directory (AD01) pode fazer todos os serviços para a rede Microsoft funcionar com domínio, DNS, PDC etc, ou seja, uma rede Microsoft normal que é muito implementada.
Teremos o servidor OpenLDAP que pode ser utilizado para qualquer aplicação que suporte consultas LDAP, tendo, como exemplo, a mais comum delas: um proxy Squid.
Na prática, com a sincronização de bases, quando criarmos o usuário "evandro.nabor" na base OpenLDAP, o usuário será replicado para o AD01. Existe uma consideração a ser feita a respeito das senhas, pois não é possível ler a senha digitada pelo usuário no OpenLDAP e escrevê-la no Active Directory, mas este assunto será abordado mais a frente.
Sendo assim, após o cenário implementado, teremos a criação de um único usuário com a mesma senha, tanto para domínio quanto para outras aplicações, como o já citado proxy.
Portanto, os usuários a partir de agora, deverão ser criados na base OpenLDAP para serem sincronizados para o AD01.
O software para isso é o LSC, que faz vários tipos de sincronização entre bases LDAP e outras.
Basicamente, ele será encarregado de testar todos os atributos configurados e efetuar a sincronização.
Dados do cenário:
Especificamente, abordarei um cenário contendo Active Directory e OpenLDAP.
Veremos como fazer a sincronização das bases para que, quando criarmos um usuário ou grupo, este será criado tanto na base OpenLDAP quanto na base Active Directory, também, posteriores alterações como mudança de grupos, nomes, descrição devem ser sincronizadas entre as bases deixando-as consistentes.
Estudo de caso
Este é o cenário apresentado:- Um servidor Active Directory Windows 2008 Server (AD01);
- Um servidor OpenLDAP (LX01).
O servidor Active Directory (AD01) pode fazer todos os serviços para a rede Microsoft funcionar com domínio, DNS, PDC etc, ou seja, uma rede Microsoft normal que é muito implementada.
Teremos o servidor OpenLDAP que pode ser utilizado para qualquer aplicação que suporte consultas LDAP, tendo, como exemplo, a mais comum delas: um proxy Squid.
Na prática, com a sincronização de bases, quando criarmos o usuário "evandro.nabor" na base OpenLDAP, o usuário será replicado para o AD01. Existe uma consideração a ser feita a respeito das senhas, pois não é possível ler a senha digitada pelo usuário no OpenLDAP e escrevê-la no Active Directory, mas este assunto será abordado mais a frente.
Sendo assim, após o cenário implementado, teremos a criação de um único usuário com a mesma senha, tanto para domínio quanto para outras aplicações, como o já citado proxy.
Solução
Tratarei a sincronização neste sentido: OpenLDAP → Active DirectoryPortanto, os usuários a partir de agora, deverão ser criados na base OpenLDAP para serem sincronizados para o AD01.
O software para isso é o LSC, que faz vários tipos de sincronização entre bases LDAP e outras.
Basicamente, ele será encarregado de testar todos os atributos configurados e efetuar a sincronização.
Dados do cenário:
- LX01: OpenLDAP e LSC - Debian Squeeze - 172.31.1.28
- AD01: Active Directory - Windows 2008 Server - 172.31.1.99
Tenho uma questão pra todos ...
Tenho um cliente que tem sua base em LDAP, e por enquanto não quer migrar para o AD da Microsoft, porém, contudo, todavia, ele quer uma solução que vamos instalar ( Xen Desktop ) que precisa do Active Directory da Microsoft para autenticação de seus usuários, não sei se conhecem o Xen Desktop, mas é uma solução de virtualização de estação de trabalho, e necessita de um login no AD.
Pergunta..... com esse seu tutorial, poderei implementar essa solução no cliente ?
Fico no aguardo, e mais uma vez, parabéns pelo artigo.
Joel Fernandes