je vais avoir a mettre en place un active directory et un LDAP (ou NIS si je galere trop). Pour chaque user, il y aura un compte unix et un compte windows. je me demandais commetn faire pour que les mots de passes soient tjr synchro entre ldap et AD.
 
si vous avez une idée ou meme une methode pour n'avoir qu'une seule base d'auth, je suis preneur.
 
mes contraintes pour l'instant vont etre le temps et mes competences light.
 
Merci  

Comme ca je te dirais qu'il faut que l'un soit le serveur LDAP "principal" et l'autre un serveur de réplica.. Mais entre AD et OpenLDAP ou entre AD et NIS.... je c pas si c possible..

Active Directory est une base LDAP hein donc a priori ca devrait etre possible d'avoir un controleur AD utilisant une base OpenLDAP ou autre. Pour l'instant Ms dit officiellement (conference LDAP eductation natioonale) que pourquoi pas mas que ca va etre tres complique et tout et pis que attention y a les tokens kerberos aussi alors ... Personne ne s'y est vraiment mis mais ca ne saurait tarder.
 
Notamment Sun avec son iPlanet vend un logiciel destiné a synchroniser un serveur Active Directory avec un serveur LDAP/iPlanet.

ok merci
 
donc pour mon stage 2 mois ca risque d'etre tendu surtout que j'ai pas que ca a foutre (loin de la)

Mais franchement je pense qu'il vaut mieux garder une coherence... Soit tout OpenLDAP soit tout AD.... pour éviter de gros pb après...

ca serait l'ideal c'est sur. mais comment remplacer totalement AD ? surtout les GPO

Pour le remplacer completement c possible en mettant un serveur Samba... Par contre pour les GPO je ne sais pas...
Mais c'est une très bonne question je vais me renseigner..(j'aimerais bien connaitre la réponse )

j'ai tjr vu que AD c'etait ldap + kerberos + d'autres trucs
 
et si je decide de ne garder que AD, ca risque pas d'etre la merde pour identifier les postes linux ? sur pour les services du style mail, ssh, ftp & co ?

2 options :  
1/ Soit tout mettre en OpenLDAP + samba
2/ Faire des replications OpenLDAP => AD, c'est possible à l'aide script d'extraction et de reinsertion, des personnes en avaient parlé sur linuxfr.org.
 

openldap + samba. ca peut etre sympa mais je ne pense pas qu'on puisse retrouver l'equivalent des GPO

oui, avec un LDAP standard on perd les spécificités de l'annuaire MS (logique), donc adieu les GPO.
 
Il n'existe pas de solution à ton problème, même Microsoft Metadirectory Services n'est pas "compatible" openldap.
 
De toutes façons, il serait impossible de synchroniser des champs cryptés comme les mots de passe, car ils ne doivent pas être chiffrés de la même manière selon les applications.
 
La seule approche actuellement raisonnable pour obtenir une authentification centralisée, ce serait l'utilisation d'une IGC et de certificats x509 (éventuellement cartes à puce et tout le merdier), pour peu que les applications le supportent.

c'est bien ce que je pensais. je me contenterais donc des 2 structures independantes.Il me restera a [in]former les users.
 
Merci à tous

Winbind?

connais pas. je vais faire qq recherches

en gros ça permet d'authentifier tes utilisateurs sur un unix par rapport à un référentiel AD via pam_winbind

je viens de voir ca. pas tres repandu sur le net google est pas super loquace j'ai pas encore trouvé un site "officiel"

c sur le site de samba

http://us1.samba.org/samba/docs/ma [...] ction.html

c'est ce que je venais de voir ca me plait ce truc. ca va peut etre m'eviter de me pencher sur ldap
 
je suis pas encore tres informé sur pam, mais j'imagine qu'on peut identifier des users windows avec pam pour tous les services courants.

au fait, Merci bcp

ouaip
regarde dans /etc/pam.d/