我们大约有70%的Linux用户,所有这些用户都配置为通过LDAP针对Active Directory进行身份验证。为了使其正常工作,我们在Windows Server 2003下使用了“ Unix的Windows服务”,并且一切正常。
现在,运行此功能的服务器有点累了,将被运行Windows Server 2008的较新计算机替换(其中与诸如用户名映射和密码更改等相关服务集成在一起)。操作系统)。
麻烦的是:如果通过Win2k3服务器配置了新用户,则一切正常。如果通过Win2k8服务器完成相同的操作,则:
有人遇到过这个问题吗?如果是这样,您如何克服这个问题?
如果您需要任何其他信息来提供进一步的帮助,请询问,我会提供。
Answers:
LDAP名称映射已在Win2K3和2K8之间更改。新的映射(要在/etc/ldap.conf中应用)是:
nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber uidNumber
nss_map_attribute gidNumber gidNumber
nss_map_attribute cn sAMAccountName
nss_map_attribute uniqueMember member
nss_map_attribute userPassword msSFUPassword
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute loginShell loginShell
nss_map_attribute gecos cn
nss_map_objectclass posixGroup Group
nss_map_attribute shadowLastChange pwdLastSet
请让我知道是否有帮助。您可能还必须迁移旧用户-我将使用ldapsearch并比较新用户和旧用户(但如果我记得的话,我认为他们将只具有这两个属性)
我决定在这里发布另一个答案,因为通常这是人们查找所需信息的地方。
尽管上述内容仍然非常有效和正确,但我现在发现了一种通过AD连接我的客户的简便得多的方法。Debian squeeze(最新的稳定版本)包含sssd(源自redhat / fedora环境的软件包),这使所有这些工作变得轻而易举。安装后,它会发现并建议使用域控制器,而我只需要更改配置文件中的很少内容即可使其对我有用。它与Windows Server 2008完美配合,还可以缓存密码(对于笔记本电脑用户很重要)。