OpenLDAP 到 Samba 4 遷移,為使用者發起的密碼遷移/更改創建中間層/Web 服務?
在過去的幾天裡,我一直在考慮將一個執行 OpenLDAP/Samba 3 配置的舊 linux 伺服器遷移到一個執行 Samba 4 的新 SBS 伺服器(如 Zentyal 或 UCS)。提供的服務將是共享、郵件、Webmail、日曆。
已經提出的問題是如何遷移使用者帳戶和密碼。我不再關心自動遷移(不再),因此我將手動重新創建所有使用者和組以及設置。
到目前為止,遷移密碼的想法是:
- 通過發行版升級自動遷移 -> 沒有 SBS linux 發行版提供自動升級路徑(恥辱!)
- 手動將密碼複製到 Samba 4 -> 不起作用,因為 OpenLDAP 將它們儲存為 {SHA}
- 讓所有使用者在服務台選擇新密碼 -> 使用者會殺了我
- 使用 samba-tool classicuprade 升級 samba 部分 -> 不適用於配置,未創建使用者,導致 Web 管理的配置被破壞
- 使用 Apache Directory Studio 讀取密碼並將它們重新植入 Samba 4 LDAP -> 由於與 2 相同的原因不起作用
- 使用 MS Active Directory 遷移工具 -> 在 Internet 上找不到在 OpenLDAP 上執行此工具的使用者
到目前為止,最好的想法是創建一個中間層作為 Web 服務,該服務將由使用者指南或其他東西傳播,使用者可以在其中使用電腦上的本地帳戶更改密碼(這存在,因為域集成在這裡不是很緊密)。這只需要從使用者那裡獲取舊密碼,將其與 OpenLDAP 雜湊值進行比較,然後在 Samba 4(使用smbpassword 或 sth.)。
將所有電腦集成/遷移到 AD 是一項不同的任務,因為介紹中列出了關鍵服務。
我找到了https://code.google.com/p/pwm/,它提供了用於更改密碼的使用者界面,但沒有可用的遷移密碼的案例。
有沒有人有更好的主意?
羅伯特
我正在為您提到的 UCS 製造商 Univention 工作,是的,我們有一個使用 UCS 將密碼遷移到 Samba 4 的解決方案。
您可以通過兩個步驟實現此目的:首先使用 Samba 3 安裝 UCS,然後將 sambaNTPassword 雜湊從您的 OpenLDAP 遷移到新的 UCS-OpenLDAP(ldapsearch 和 ldapmodify 似乎是最舒適的方式)。在第二步中,您可以將 UCS 系統從 Samba 3 更新到 Samba 4(就地)。
轉到Univention wiki。有關如何將現有的 Samba 3 安裝遷移到帶有 Samba 3 的 UCS 3 的說明,請訪問:
Univention Wiki-使用 Samba 3 從 Samba 3 遷移到 UCS 3
此過程還將遷移所有電腦,因此您將清除兩個目標。
有關從 Samba 3 更新到 4 的說明的連結位於:
Univention Wiki-從 Samba 3 遷移到 Samba 4
問候馬倫